Nowa podatność w serwisie Flickr: Jak (nie)zwykły film może zagrozić bezpieczeństwu danych
Nowa podatność w serwisie Flickr: Jak (nie)zwykły film może zagrozić bezpieczeństwu danych
Ostatnie doniesienia dotyczące bezpieczeństwa rzucają światło na niebezpieczną podatność w serwisie Flickr, która może prowadzić do poważnych naruszeń. Z pomocą HTTP Live Streaming użytkownicy mogą czytać pliki z serwera, co otwiera drzwi do wielu zagrożeń.
Znalezisko warte $2000 pokazuje, jak wykorzystując ffmpeg, można skonwertować plik wideo i uzyskać dostęp do wrażliwych danych. Przykładowy plik video zawiera nietypowe komendy, które umożliwiają odczyt plików takich jak /etc/passwd. To nie tylko niebezpieczne, ale również zaskakujące, jak łatwo można wykorzystać tę technologię.
Co więcej, podatność ta może być użyta do SSRF (Server Side Request Forgery), co pozwala na komunikację serwera z samym sobą lub z innymi, normalnie niedostępnymi serwerami. To stawia pod znakiem zapytania całą architekturę zabezpieczeń serwisu.
Więcej informacji na ten temat oraz szczegółowe opisy znajdują się w naszej książce o bezpieczeństwie, gdzie omawiamy wszystkie aspekty tej poważnej luki.
Na podstawie: Źródła
