前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >漏洞预警 | FFmpeg组件处理播放列表文件可能导致信息泄露

漏洞预警 | FFmpeg组件处理播放列表文件可能导致信息泄露

作者头像
安恒信息
发布2018-04-11 10:01:03
6850
发布2018-04-11 10:01:03
举报
文章被收录于专栏:安恒信息

FFmpeg是一个免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件,广泛的应用于各大视频网站上。

FFmpeg处理HLS播放列表文件的方式存在安全漏洞。如果播放列表文件中包含有对外部文件的引用,FFmpeg处理该文件时就可能会读取视频服务器上的敏感文件,如/etc/passwd等。

利用方式

攻击者可以向视频服务器或网站上传恶意视频文件来利用这个漏洞,读取服务器上的敏感信息。安恒信息安全研究院已确认国内多个知名视频网站存在此漏洞。目前已有公开的PoC在外流传。

受影响版本

1

FFmpeg 3.3系列:<3.3.2

2

FFmpeg 3.2系列:<3.2.6

3

FFmpeg 3.1 系列:<3.1.9

4

FFmpeg 3.0 系列:全部

5

FFmpeg 2.8 系列:<2.8.12

修复建议

FFmpeg 3.3.2、3.2.6、3.1.9和2.8.12版本修复了漏洞,建议用户尽快升级到最新版本。下载地址:https://ffmpeg.org/download.html

参考链接

https://hackerone.com/reports/242831

https://hackerone.com/reports/226756

- END -

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-06-27,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档