Icecast был создан в ноябре 1999 года для поддержки и контроля музыкальных файлов с открытым исходным кодом в сети. Он является audio-streaming сервером для unix и windows платформ. Найдено сразу 2 уязвимости: удаленная DOS атака и возможность folder traversal :

  • DoS атака: Если в сервере активизирован в режиме поддержки http сервера для поддержки потокового аудио, то злоумышленник может вызвать удаленную DoS атаку. Потоковая поддержка по умолчанию не включена, а работает, только если изменить переменную "staticdir" в конфигурационном файле "icecast.conf". DoS вызывает "application error" в Windows приводя к краху сервера. DoS происходит когда к имени файла прибавляется дополнительно '/' или '\'. 
    Пример: http://www.someserver.zom:8000/file/test.mp3/
  • folder traversal - доступ к mp3 файлам находящиеся вне web директории может быть осуществлен, если заменить ASCII значения для каждого ".", т.е. использовать "/%25%25/" вместо "/../" - это позволит подняться на директорию выше. 
    Пример: http://localhost:8000/file/%2E%2E/test.mp3
  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии