» »

Ranljivost na Flash medijskem strežniku slovenske vlade?

Ranljivost na Flash medijskem strežniku slovenske vlade?

Slo-Tech - Gorazd Žagar na svojem blogu namenjenemu informacijski varnosti pred kratkim objavil prispevek o varnosti Flash medijskega strežnika (Flash Media Server).

Pri tem opisuje konkreten primer slabo zaščitenega Adobe FMS strežnika, kjer bi napadalci lahko izvedli krajo širokopasovne povezave in sicer bi preko "zaseženega" strežnika lahko oddajali svoj lasten video. Gre za strežnik Adobe FMS 3.5, ki je uporabljen za video na zahtevo ter video v živo za potrebe spletnega mesta Vlade Republike Slovenije. Kot ugotavlja avtor je strežnik neustrezno skonfiguriran in nima nameščenega avtentikacijskega modula, posledično pa bi bila mogoča objava neavtoriziranih vsebin.

Flash strežnike je sicer mogoče enostavno locirati z uporabo orodij za izčrpno pregledovanje omrežja (npr. nmap) tako, da napadalec išče odprta TCP vrata 1935.

Še opozorilo - konkretno zlorabo v opisanem primeru je mogoče dokaj enostavno ugotoviti iz log datotek.

16 komentarjev

saravak ::

Ja v času predsedovanja je bil uporabljen WOWZA media server, ki te težave ni mel, a so se odločili za dražjo rešitev zaradi...????

Byla ::

ocitno amatersko, pavsalno, izvedben projekt. Ocitno nic drugega kot to.
www.thirdframestudios.com

Nextor ::

To tak je, če si diplomiran kurac palac ne vem česa, pol pa nimaš osnovnega pojma o ničem!!!

Mipe ::

Hmm, čas za Rick Roll.

Mr.B ::

Ranljivost, je tako nepomembna, kot je pomembna zanimivost storitve, ki jo ponujajo. Ergo zanimivost oziroma popularnost strani je 0, torej je tudi 0 smiselnost ekspoljtati to luknjo.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

poweroff ::

A res? Meni se pa ne zdi tako.

Ti oddajaš porno stream, bandwith pa časti država. Čisti socializem, bi rekel. :D
sudo poweroff

Mr.B ::

Ja in kakšen ima to smisel, če te gleda deset ljudi ? Takoj, ko bo obisk, zaradi porna narasel, bodo reagirali. Morda takrat, ko bodo kazali kužke.
Realno da, ranljivost je potrebno odpraviti, bi bilo smotrno, glede na denar ki se daje za vzdrževanje...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

poweroff ::

HEhe, da bo šel kdo gledat loge bo pa trajalo... 2 meseca? :D
sudo poweroff

Mr.B ::

Ne, glej če imaš 0 prometa, z občasnimi hribčki, naenkrat pa imaš polno zasedeno linijo, verjetno boš pozoren...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

poweroff ::

Ja, saj razumem. Ampak če sistemci ne gledajo potem tudi ne vidijo. to sem hotel reči.

No, resno: me zanima če kdo v JU dela kakšen resen monitoring omrežja...
sudo poweroff

Pyr0Beast ::

Nobenega ne briga ker ni mission-criticall zadeva.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

BlueRunner ::

Tudi če ni... je pa izreden potencial za PR blunder, ki bo še dodatno utrdil vsesplošno negativno mnenje o upravljalcih informacijskih tehnologij v JU.

Mr.B ::

Glej top 10 IT podjetji v Sloveniji, ima dejansko isključno pripisti obstoj na račun JU. Kaj misliš se bo spremenilo...Za državljana ni, samo zamenjal se bo upravljalec.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Pyr0Beast ::

Jebiga, placani so zato da ne delajo nic oz se ukvarjajo sami s seboj.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

poweroff ::

Ni mission critical, kaže pa odnos upravljavcev do informacijske varnosti.

A mislite, da je pa na mission critical področjih res kaj bolje?
sudo poweroff

Pyr0Beast ::

Jebiga. Oni so placani samo za to da dela, ne za to da bi bilo varno. Ah to je sama skoda casa :D
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Download video (flash) iz rtvslo (strani: 1 2 )

Oddelek: Pomoč in nasveti
9757218 (19628) Pizzicato
»

Google dela na pretvorniku iz Flash SWF v HTML5

Oddelek: Novice / Android
185813 (4124) techfreak :)
»

Moji strežniki

Oddelek: Omrežja in internet
323466 (2382) Hexx
»

Hekersko tekmovanje Pwn2Own se začenja

Oddelek: Novice / Varnost
369765 (7840) noraguta
»

YouTube pripravlja 'lahko' stran

Oddelek: Novice / Omrežja / internet
334746 (3418) ABX

Več podobnih tem