Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Vulnerabilidad de formateo de nombre en SHOUTcast

Vulnerabilidad de formateo de nombre en SHOUTcast

Por Deja un comentario

Se ha descubierto una vulnerabilidad en el formateo de cadenas en las
versiones de SHOUTcast 1.9.4 y anteriores que permite la ejecución
remota de código por parte de un atacante.

SHOUTcast es un sistema de emisión de audio en directo basado en winamp
y desarrollado por los creadores del mismo (Nullsoft).

El problema se encuentra al realizar peticiones al servidor que contienen
nombres de archivo especialmente creados, estos usan caracteres de escape
a los que se le añaden como argumento un código a ejecutar. Por ejemplo,
con una simple petición a:
http://ip:8000/content/%n.mp3
se puede provocar la caída del servidor de SHOUTcast.

La vulnerabilidad ha sido confirmada en las versiones SHOUTcast DNAS/Linux
y actualmente ya circula código que hace uso malicioso de la misma.

Francisco Santos
fsantos@hispasec.com

Más información:

SHOUTcast remote format string vulnerability
http://www.securityfocus.com/archive/1/385350/2004-12-20/2004-12-26/0

SHOUTcast remote format string vulnerability (Aviso original)
http://www.cc-team.org/index.php?name=artykuly&show=163

SHOUTcast Homepage:
http://www.shoutcast.com

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.