漏洞预警 | FFmpeg组件处理播放列表文件可能导致信息泄露

FFmpeg是一个免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件,广泛的应用于各大视频网站上。

FFmpeg处理HLS播放列表文件的方式存在安全漏洞。如果播放列表文件中包含有对外部文件的引用,FFmpeg处理该文件时就可能会读取视频服务器上的敏感文件,如/etc/passwd等。

利用方式

攻击者可以向视频服务器或网站上传恶意视频文件来利用这个漏洞,读取服务器上的敏感信息。安恒信息安全研究院已确认国内多个知名视频网站存在此漏洞。目前已有公开的PoC在外流传。

受影响版本

1

FFmpeg 3.3系列:<3.3.2

2

FFmpeg 3.2系列:<3.2.6

3

FFmpeg 3.1 系列:<3.1.9

4

FFmpeg 3.0 系列:全部

5

FFmpeg 2.8 系列:<2.8.12

修复建议

FFmpeg 3.3.2、3.2.6、3.1.9和2.8.12版本修复了漏洞,建议用户尽快升级到最新版本。下载地址:https://ffmpeg.org/download.html

参考链接

https://hackerone.com/reports/242831

https://hackerone.com/reports/226756

- END -

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-06-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SDNLAB

新型云基础设施项目Airship 介绍

AT&T正在与SK电信(SKT),Intel和OpenStack基金会合作推出一个名为Airship的新型云开放基础设施项目。Airship的宣传语是“声明式地...

24520
来自专栏非著名程序员

Android NFC 技术解析,附 Demo 源码

近期由于项目需求,对 Android NFC 技术进行了一定的了解和深入,整合了一些网络、书籍资料,此文章仅作为自己的学习笔记。 NFC 是 Near Fiel...

46070
来自专栏云计算爱好者

简单介绍Docker的架构特性与局限

Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是...

28460
来自专栏从零开始的linux

初识docker

docker使用go语言开发,基于apache2.0协议 容器虚拟化 ? 传统虚拟化 ? Docker的优势 启动非常快,秒级实现 资源利用率很高,一台机器可以...

38950
来自专栏谭伟华的专栏

使用 Docker 部署前端自动化测试的尝试(一)

自动化测试是一个老生常谈的话题,往往应为界面变化太快,测试脚本更新跟不上需求变化而作罢。所以打算引入能自动生成测试脚本的 uirecorder 这一开源工具。并...

1.2K20
来自专栏Debian社区

Linux 容器 vs 虚拟机 — 谁更胜一筹

自从 Linux 上的 容器 变得流行以来,了解 Linux 容器和虚拟机 之间的区别变得更加棘手。本文将向您提供详细信息,以了解 Linux 容器和虚拟机之间...

16820
来自专栏BestSDK

Kubernetes发布1.10版本:开发者可自己定义API

Container存储介面(Container Storage Interface,CSI)能让使用者像安装Pod一样,轻松安装Volume插件,而这使得第三方...

439110
来自专栏xingoo, 一个梦想做发明家的程序员

Docker容器入门

为什么要看docker 从去年起就或多或少的接受了docker的熏陶,主要还是Infoq在去年有很多关于docker的实践视频讲座,记得有一篇是《Docker在...

263100
来自专栏点点滴滴

关于Windows系统安装(一)

12760
来自专栏技术翻译

Linux容器的发展及其未来趋势

Linux容器是操作系统级虚拟化在单个Linux主机上提供多个独立Linux环境的技术。与虚拟机(VM)不同,容器不运行专用客户操作系统。相反,他们共享主机操作...

73800

扫码关注云+社区

领取腾讯云代金券