【漏洞公告】FFmpeg本地文件任意读取漏洞
近日,白帽在HackerOne平台上报了ffmpeg漏洞,该漏洞利用ffmpeg的HLS播放列表处理方式,可导致本地文件曝光,目前POC已经公开,安全风险高危,为了确保您的业务正常,防止数据泄露,建议您尽快排查和升级。
FFmpeg是一个免费的多媒体框架,可以运行音频和视频多种格式的录影、转换、流功能,能让用户访问几乎所有视频格式,包括mkv、flv、mov,VLC Media Player、Google Chrome浏览器都已经支持。
具体详情如下:
漏洞编号:
暂无
漏洞名称:
FFmpeg曝任意文件读取漏洞
官方评级:
高危
漏洞描述:
由于FFmpeg可处理HLS播放列表,而播放列表中已知可包含外部文件的援引。恶意攻击者可以利用精心构造的avi文件中的GAB2字幕块,上传构造搞的avi视频到使用FFmpeg的目标站点,可以通过XBIN codec获取到视频转换网站的本地文件(例如:查看/etc/passwd文件内容),从而导致敏感数据信息泄露。
漏洞利用条件和方式:
远程利用
漏洞影响范围:
- FFmpeg 2.6.8
- FFmpeg 3.2.2
- FFmpeg 3.2.5
确认是否使用了受影响版本
漏洞修复建议(或缓解措施):
- 目前官方最新版本为3.3.2,建议用户更新到最新版本 ;
- 将file://等危险协议类型添加到黑名单,禁止读取高风险文件信息
- http://www.freebuf.com/vuls/138377.html
- https://hackerone.com/reports/242831
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
