阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 3966阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】FFmpeg本地文件任意读取漏洞

级别: 论坛版主
发帖
241
云币
478
近日,白帽在HackerOne平台上报了ffmpeg漏洞,该漏洞利用ffmpeg的HLS播放列表处理方式,可导致本地文件曝光,目前POC已经公开,安全风险高危,为了确保您的业务正常,防止数据泄露,建议您尽快排查和升级 `&SBp }W}  
FFmpeg是一个免费的多媒体框架,可以运行音频和视频多种格式的录影、转换、流功能,能让用户访问几乎所有视频格式,包括mkv、flv、mov,VLC Media Player、Google Chrome浏览器都已经支持。 }*vO&J@z  
具体详情如下:                                                                                  
漏洞编号: T$tO[QR/  
暂无 7'R7J"sY`|  
漏洞名称: *NQsD C.J^  
FFmpeg曝任意文件读取漏洞 &H?Vlx Ix  
官方评级: P(i E"KH;  
高危 = '<*mT<  
漏洞描述: \`8?=_ST  
由于FFmpeg可处理HLS播放列表,而播放列表中已知可包含外部文件的援引。恶意攻击者可以利用精心构造的avi文件中的GAB2字幕块,上传构造搞的avi视频到使用FFmpeg的目标站点,可以通过XBIN codec获取到视频转换网站的本地文件(例如:查看/etc/passwd文件内容),从而导致敏感数据信息泄露。 JiRfLB  
漏洞利用条件和方式: QVWUm!  
远程利用 G_ 6!w//  
漏洞影响范围:
  • FFmpeg 2.6.8
  • FFmpeg 3.2.2
  • FFmpeg 3.2.5
漏洞检测: u7bji>j  
确认是否使用了受影响版本 w/Wd^+I In  
漏洞修复建议(或缓解措施): +=(@=PJ6  
  • 目前官方最新版本为3.3.2,建议用户更新到最新版本
  • 将file://等危险协议类型添加到黑名单,禁止读取高风险文件信息
情报来源:
  • http://www.freebuf.com/vuls/138377.html
  • https://hackerone.com/reports/242831
"mAMfV0  
ivPX_#QI  
tj[-|h  
 q #X[oVq  
[ 此帖被正禾在2017-06-27 11:01重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)