Sipru'da Güvenlik Açığı

Bir kaç gün önce Doğuş grubu bünyesinde kullanıma sunulan ve http://www.ntvmsnbc.com/news/418388.asp adersinde "Türkiyenin ilk masaüstü TV yayını başlıyor" sloganıyla kullanıcıların hizmetine sunulan programını aktarmıştım. Nette gezinirken bu programla ilgili bir açık olduğu yönünde bir haber okuyunca bu konuda sizleride bilgilendirmenin faydalı olacağını düşündüm. Olympos sitesinde ki haberi aynen aktarayım

Sipru adlı programın tüm yayın akışının kesilebilmesine, değiştirilebilmesine ve zararlı içerik yerleştirilebilmesine olanak veren Soap protokolünün kötüye kullanılması ile ortaya çıkıyor.
Açık Client ve Server arasındaki iletişimin plaintext xml formatı ile gerçekleştirilmesinden kaynaklanıyor. Kötü niyetli kullanıcı trafiği dinleyerek ele geçirdiği admin bilgileri ile programa uygun Soap Client verilerini hazırlayarak saldırıyı gerçekleştirebiliyor.

Olympos
.