全部产品
Search
文档中心

【漏洞公告】CVE-2016-1897,CVE-2016-1898:FFmpeg 2.x 远程文件读取漏洞

更新时间: 2018-05-10

漏洞描述

FFmpeg 2.x是一款多媒体编码、解码框架。近日FFmpeg 2.x被披露存在高危漏洞,可被利用来远程窃取本地文件,漏洞编号为CVE-2016-1897、CVE-2016-1898。此漏洞允许攻击者通过上传构造的hls切片索引文件,远程窃取服务器端本地文件。

影响范围

  • FFmpeg 2.8.x < 2.8.5
  • FFmpeg 2.7.x < 2.7.5
  • FFmpeg 2.6.x < 2.6.7
  • FFmpeg 2.5.x < 2.5.10

漏洞修复

  • 使用云盾Web应用防火墙拦截此漏洞的攻击代码。

  • 升级FFmpeg至最新版本。

    • FFmpeg 2.8.x系列升级至2.8.5或以上。
    • FFmpeg 2.7.x系列升级至2.7.5或以上。
    • FFmpeg 2.6.x系列升级至2.6.7或以上。
    • FFmpeg 2.5.x系列升级至2.5.10或以上。