近日,白帽在HackerOne平台上报了FFmpeg漏洞,该漏洞利用FFmpeg的HLS播放列表处理方式,可导致本地文件曝光。目前POC已经公开,安全风险为高危。为了确保您的业务正常,防止数据泄露,建议您尽快排查和升级。
FFmpeg是一个免费的多媒体框架,可以运行音频和视频多种格式的录影、转换、流功能,能让用户访问几乎所有视频格式,包括mkv、flv、mov等。VLC Media Player、Google Chrome浏览器都支持该框架。
漏洞详情见下文。
漏洞编号
暂无
漏洞名称
FFmpeg任意文件读取漏洞
官方评级
高危
漏洞描述
由于FFmpeg可处理HLS播放列表,而播放列表中可包含外部文件的援引。恶意攻击者可以利用精心构造的avi文件中的GAB2字幕块,上传构造的avi视频到使用FFmpeg的目标站点,进而通过XBIN codec获取到视频转换网站的本地文件。例如,查看/etc/passwd
文件内容,从而导致敏感数据信息泄露。
漏洞利用条件和方式
远程利用
漏洞影响范围
- FFmpeg 2.6.8
- FFmpeg 3.2.2
- FFmpeg 3.2.5
漏洞检测
确认是否使用了受影响版本。
漏洞修复建议(或缓解措施)
目前官方最新版本为3.3.2,建议您更新到最新版本。
将
file://
等危险协议类型添加到黑名单,禁止读取高风险文件信息。
情报来源