FFmpeg是一个免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件,广泛的应用于各大视频网站上。
FFmpeg处理HLS播放列表文件的方式存在安全漏洞。如果播放列表文件中包含有对外部文件的引用,FFmpeg处理该文件时就可能会读取视频服务器上的敏感文件,如/etc/passwd等。
利用方式
攻击者可以向视频服务器或网站上传恶意视频文件来利用这个漏洞,读取服务器上的敏感信息。安恒信息安全研究院已确认国内多个知名视频网站存在此漏洞。目前已有公开的PoC在外流传。
受影响版本
1
FFmpeg 3.3系列:<3.3.2
2
FFmpeg 3.2系列:<3.2.6
3
FFmpeg 3.1 系列:<3.1.9
4
FFmpeg 3.0 系列:全部
5
FFmpeg 2.8 系列:<2.8.12
修复建议
FFmpeg 3.3.2、3.2.6、3.1.9和2.8.12版本修复了漏洞,建议用户尽快升级到最新版本。下载地址:https://ffmpeg.org/download.html
参考链接
https://hackerone.com/reports/242831
https://hackerone.com/reports/226756
- END -
