Доступ к любым мультимедиа файлам и отказ от обслуживания в Icecast

Дата публикации:
27.06.2001
Дата изменения:
17.10.2006
Всего просмотров:
1062
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

Icecast был создан в ноябре 1999 года, для поддержки и контроля музыкальных файлов с открытым исходным кодом в сети. Он является audio-streaming сервером для unix и windows платформ. Найдено сразу 2 уязвимости: удаленная DOS атака и возможность folder traversal :

DoS атака: Если в сервере активизирован в режиме поддержки http сервера для поддержки потокового аудио, то злоумышленник может вызвать удаленную DoS атаку. Потоковая поддержка по умолчанию не включена, а работает, только если изменить переменную "staticdir" в конфигурационном файле "icecast.conf". DoS вызывает “application error” в Windows приводя к краху сервера. DoS происходит когда к имени файла прибавляется дополнительно ‘/’ или ‘\’.
Пример: http://www.someserver.zom:8000/file/test.mp3/

folder traversal – доступ к mp3 файлам находящиеся вне web директории может быть осуществлен, если заменить ASCII значения для каждого “.”, т.е. использовать "/%25%25/" вместо "/../" – это позволит подняться на директорию выше.
Пример: http://localhost:8000/file/%2E%2E/test.mp3


 


или введите имя

CAPTCHA