Prijavi se z GoogleID

» »

Ranljivost na Flash medijskem strežniku slovenske vlade?

Ranljivost na Flash medijskem strežniku slovenske vlade?

Slo-Tech - Gorazd Žagar na svojem blogu namenjenemu informacijski varnosti pred kratkim objavil prispevek o varnosti Flash medijskega strežnika (Flash Media Server).

Pri tem opisuje konkreten primer slabo zaščitenega Adobe FMS strežnika, kjer bi napadalci lahko izvedli krajo širokopasovne povezave in sicer bi preko "zaseženega" strežnika lahko oddajali svoj lasten video. Gre za strežnik Adobe FMS 3.5, ki je uporabljen za video na zahtevo ter video v živo za potrebe spletnega mesta Vlade Republike Slovenije. Kot ugotavlja avtor je strežnik neustrezno skonfiguriran in nima nameščenega avtentikacijskega modula, posledično pa bi bila mogoča objava neavtoriziranih vsebin.

Flash strežnike je sicer mogoče enostavno locirati z uporabo orodij za izčrpno pregledovanje omrežja (npr. nmap) tako, da napadalec išče odprta TCP vrata 1935.

Še opozorilo - konkretno zlorabo v opisanem primeru je mogoče dokaj enostavno ugotoviti iz log datotek.

16 komentarjev

saravak ::

Ja v času predsedovanja je bil uporabljen WOWZA media server, ki te težave ni mel, a so se odločili za dražjo rešitev zaradi...????

Byla ::

ocitno amatersko, pavsalno, izvedben projekt. Ocitno nic drugega kot to.
www.thirdframestudios.com

Nextor ::

To tak je, če si diplomiran kurac palac ne vem česa, pol pa nimaš osnovnega pojma o ničem!!!

Mipe ::

Hmm, čas za Rick Roll.

Mr.B ::

Ranljivost, je tako nepomembna, kot je pomembna zanimivost storitve, ki jo ponujajo. Ergo zanimivost oziroma popularnost strani je 0, torej je tudi 0 smiselnost ekspoljtati to luknjo.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Matthai ::

A res? Meni se pa ne zdi tako.

Ti oddajaš porno stream, bandwith pa časti država. Čisti socializem, bi rekel. :D
All those moments will be lost in time, like tears in rain...
Time to die.

Mr.B ::

Ja in kakšen ima to smisel, če te gleda deset ljudi ? Takoj, ko bo obisk, zaradi porna narasel, bodo reagirali. Morda takrat, ko bodo kazali kužke.
Realno da, ranljivost je potrebno odpraviti, bi bilo smotrno, glede na denar ki se daje za vzdrževanje...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Matthai ::

HEhe, da bo šel kdo gledat loge bo pa trajalo... 2 meseca? :D
All those moments will be lost in time, like tears in rain...
Time to die.

Mr.B ::

Ne, glej če imaš 0 prometa, z občasnimi hribčki, naenkrat pa imaš polno zasedeno linijo, verjetno boš pozoren...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Matthai ::

Ja, saj razumem. Ampak če sistemci ne gledajo potem tudi ne vidijo. to sem hotel reči.

No, resno: me zanima če kdo v JU dela kakšen resen monitoring omrežja...
All those moments will be lost in time, like tears in rain...
Time to die.

Pyr0Beast ::

Nobenega ne briga ker ni mission-criticall zadeva.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

BlueRunner ::

Tudi če ni... je pa izreden potencial za PR blunder, ki bo še dodatno utrdil vsesplošno negativno mnenje o upravljalcih informacijskih tehnologij v JU.

Mr.B ::

Glej top 10 IT podjetji v Sloveniji, ima dejansko isključno pripisti obstoj na račun JU. Kaj misliš se bo spremenilo...Za državljana ni, samo zamenjal se bo upravljalec.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Pyr0Beast ::

Jebiga, placani so zato da ne delajo nic oz se ukvarjajo sami s seboj.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Matthai ::

Ni mission critical, kaže pa odnos upravljavcev do informacijske varnosti.

A mislite, da je pa na mission critical področjih res kaj bolje?
All those moments will be lost in time, like tears in rain...
Time to die.

Pyr0Beast ::

Jebiga. Oni so placani samo za to da dela, ne za to da bi bilo varno. Ah to je sama skoda casa :D
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Adobe opozarja na ranljivost v Flashu in Acrobatu

Oddelek: Novice / Varnost
184288 (3049) MrStein
»

Spet o nevarnostih oblačnega računalništva (strani: 1 2 )

Oddelek: Novice / Varnost
996428 (4085) Matthai
»

Odkrita resna ranljivost v SSL in TLS protokolih

Oddelek: Novice / Varnost
103716 (2685) BlueRunner
»

Odkrita resna ranljivost v DNS sistemih

Oddelek: Novice / Varnost
285550 (3032) denial
»

Strežniki z Linuxom so večkrat podlegli napadom

Oddelek: Novice / Varnost
381965 (1965) MrStein

Več podobnih tem