UCloud-201706-003:FFmpeg本地文件任意读取漏洞安全预警 | U刻
  • UCloud-201706-003:FFmpeg本地文件任意读取漏洞安全预警

    栏目:安全资讯
    尊敬的UCloud用户:
    最近有白帽在HackerOne平台上报了ffmpeg漏洞,该漏洞利用FFmpeg的HLS播放列表处理方式,可导致本地文件曝光,目前POC已经公布,危害严重。请检查您所使用的FFmpeg是否在影响范围之内,并及时进行升级。

    您使用的Uvideo和Ulive产品并不受此漏洞影响。

    影响范围
    FFmpeg 3.2.2
    FFmpeg 3.2.5
    FFmpeg 2.6.8

    其它版本尚未测试,不确认是否受到影响

    修复方案
    1.请升级受影响版本至FFmpeg 3.3.2版本

    2.将file://等危险协议类型添加到黑名单

    漏洞详情

    FFmpeg可处理HLS播放列表,而播放列表中已知可包含外部文件的援引。借由该特性,利用avi文件中的GAB2字幕块,可以通过XBIN codec获取到视频转换网站的本地文件。

    参考链接