NEWS
公司新闻 安全播报

漏洞预警 | FFmpeg组件处理播放列表文件可能导致信息泄露

来源: 时间:2017-07-03 00:00:00 作者:  浏览:675 次

FFmpeg是一个免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件,广泛的应用于各大视频网站上。

FFmpeg处理HLS播放列表文件的方式存在安全漏洞。如果播放列表文件中包含有对外部文件的引用,FFmpeg处理该文件时就可能会读取视频服务器上的敏感文件,如/etc/passwd等。

利用方式

攻击者可以向视频服务器或网站上传恶意视频文件来利用这个漏洞,读取服务器上的敏感信息。安恒信息安全研究院已确认国内多个知名视频网站存在此漏洞。目前已有公开的PoC在外流传。


受影响版本

1

FFmpeg 3.3系列:<3.3.2

2

FFmpeg 3.2系列:<3.2.6

3

FFmpeg 3.1 系列:<3.1.9

4

FFmpeg 3.0 系列:全部

5

FFmpeg 2.8 系列:<2.8.12

修复建议

FFmpeg 3.3.2、3.2.6、3.1.9和2.8.12版本修复了漏洞,建议用户尽快升级到最新版本。下载地址:https://ffmpeg.org/download.html


参考链接

https://hackerone.com/reports/242831

https://hackerone.com/reports/226756

- END -


杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |