影響Icecast流媒體伺服器的漏洞可停播網路廣播電臺

黑客可利用影響Icecast流媒體伺服器的漏洞停播網路廣播電臺。

Icecast流媒體伺服器受編號為“CVE-2018-18820”的漏洞影響， 黑客可利用該漏洞停播網路廣播電臺 。Icecast由Xiph.org基金會維護，可支援視訊和音訊資料。Icecast是在GNU通用公共許可協議（GNU GPL）版本2下分發的，可用於建立網路廣播電臺、私人點唱機以及介於兩者之間的其他產品。  

該漏洞是Semmle安全研究團隊通過LGTM發現的，LGTM軟體可通過分析檢查出有漏洞的程式碼。   

該安全研究團隊在公告中表示，“我們發現，由Xiph.org基金會維護的開源流媒體伺服器Icecast中存在漏洞。”

“攻擊者可製作HTTP標頭，覆蓋伺服器的堆疊內容，從而遠端執行程式碼。由於Icecast常用於支援網路廣播電臺，因此惡意攻擊者可藉此使電臺停播。”

配置URL認證的Icecast伺服器的2.4.0至2.4.3版本均受該漏洞影響。

專家開發並利用了一個概念驗證，其可在伺服器中造成一個觸發拒絕服務的分段錯誤。專家指出，黑客若繼續開發， 其將獲得受感染系統的全面遠端程式碼執行權 。 

Icecast

很快，Xiph專家們迅速而且巧妙地修復了該漏洞。

該公告還表示，“Xiph員工迅速修復了該漏洞。 修復方法很簡單，只需檢查snprintf的返回值，若其導致post_offset的指向超出緩衝區，它便會記錄一個錯誤並退出迴圈 。”  

使用者應儘快將安裝升級版本2.4.4。

有關該漏洞的技術細節，可前往Semmle安全研究團隊尼克·羅爾夫（Nick Rolfe）釋出的帖子中檢視。

E安全注：本文系E安全獨家編譯報道，轉載請聯絡授權，並保留出處與連結，不得刪減內容。聯絡方式：① 微信號j871798128②郵箱[email protected]

@E安全，最專業的前沿網路安全媒體和產業服務平臺，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全入口網站戶網站戶網站www.easyaq.com , 查 , 查 , 檢視更多精彩內容。