2年前 (2017-06-27) 网友投稿  互联网最新资讯
文章评分 1 次,平均分 5.0

漏洞描述

FFmpeg是一个完整的跨平台解决方案,用于记录、转换流式传输音频和视频,可用于预览生成和视频转换的视频编码软件。已知FFmpeg可以处理可能包含对外部文件的引用的HLS播放列表,可以使用AVI文件中的GAB2字幕块来触发此功能,再通过XBIN编解码器检索转换节点的本地文件,从而导致了可以在转码后的视频里包含了本地文件。

影响范围

经测试FFmpeg 3.2.2、3.2.5和2.6.8版本均存在该漏洞,其它版本未经系统性测试,请按漏洞检测脚本进行自行排查。

漏洞危害

经验证该漏洞可导致读取本地任意文件,危害较大。经研究人员验证,Google,Yahoo,Youtube等门户、视听网站以及支持流转码服务的业务已被爆出存在该漏洞。国内支持流转码的网站也可能有存在该漏洞的风险,请速排查。

漏洞检测

下载测试脚本,

https://github.com/neex/ffmpeg-avi-m3u-xbin/blob/master/gen_xbin_avi.py

生成恶意 read.avi 文件

python3 gen_xbin_avi.py file:///etc/passwd read.avi

将 read.avi 上传到目标网站,查看视频中是否会将 /etc/passwd 文件内容渲染至视频流中。

多个视频网站或者视频云要中招,高危漏洞预警: FFmpeg组件爆高危漏洞,利用可读取任意文件内容

 

修复方案

1、请升级受影响版本至FFmpeg 3.3.2版本。

2、将file://等危险协议类型添加到黑名单。

 

除特别注明外,本站所有文章均为铁匠运维网原创,转载请注明出处来自http://www.tiejiang.org/17833.html

发表评论

暂无评论

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享