FFmepeg本地文件任意讀取漏洞

近日，白帽在HackerOne平台上報了FFmpeg漏洞，該漏洞利用FFmpeg的HLS播放列表處理方式，可導緻本地文件曝光，目前POC已經(jīng)公開(kāi)，安全風險高危，爲了确保您的業務正常，防止數據洩露，建議您盡快排查和升級。

FFmpeg是一個免費的多媒體框架,可以運行音頻和視頻多種(zhǒng)格式的錄影、轉換、流功能(néng),能(néng)讓用戶訪問幾乎所有視頻格式,包括mkv、flv、mov,VLC Media Player、Google Chrome浏覽器都(dōu)已經(jīng)支持。

具體詳情如下:

漏洞編号:

暫無

漏洞名稱:

FFmpeg曝任意文件讀取漏洞

官方評級:

高危

漏洞描述:

由于FFmpeg可處理HLS播放列表，而播放列表中已知可包含外部文件的援引。惡意攻擊者可以利用精心構造的avi文件中的GAB2字幕塊，上傳構造搞的avi視頻到使用FFmpeg的目标站點，可以通過(guò)XBIN codec獲取到視頻轉換網站的本地文件(例如:查看/etc/passwd文件内容)，從而導緻敏感數據信息洩露。

漏洞利用條件和方式:

遠程利用

漏洞影響範圍:

FFmpeg 2.6.8
FFmpeg 3.2.2
FFmpeg 3.2.5
漏洞檢測:

确認是否使用了受影響版本

漏洞修複建議(或緩解措施):

目前官方最新版本爲3.3.2，建議用戶更新到最新版本
將(jiāng)file://等危險協議類型添加到黑名單,禁止讀取高風險文件信息

情報來源:

http://www.freebuf.com/vuls/138377.html
https://hackerone.com/reports/242831