漏洞预警 | FFmpeg组件处理播放列表文件可能导致信息泄露

FFmpeg是一个免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件，广泛的应用于各大视频网站上。

FFmpeg处理HLS播放列表文件的方式存在安全漏洞。如果播放列表文件中包含有对外部文件的引用，FFmpeg处理该文件时就可能会读取视频服务器上的敏感文件，如/etc/passwd等。

利用方式

攻击者可以向视频服务器或网站上传恶意视频文件来利用这个漏洞，读取服务器上的敏感信息。安恒信息安全研究院已确认国内多个知名视频网站存在此漏洞。目前已有公开的PoC在外流传。

受影响版本

1

FFmpeg 3.3系列：<3.3.2

2

FFmpeg 3.2系列：<3.2.6

3

FFmpeg 3.1 系列：<3.1.9

4

FFmpeg 3.0 系列：全部

5

FFmpeg 2.8 系列：<2.8.12

修复建议

FFmpeg 3.3.2、3.2.6、3.1.9和2.8.12版本修复了漏洞，建议用户尽快升级到最新版本。下载地址：https://ffmpeg.org/download.html

参考链接

https://hackerone.com/reports/242831

https://hackerone.com/reports/226756

- END -