UCloud-201706-003:FFmpeg本地文件任意读取漏洞安全预警 – U刻

UCloud-201706-003:FFmpeg本地文件任意读取漏洞安全预警 – U刻

UCloud-201706-003:FFmpeg本地文件任意读取漏洞安全预警

UCloud-201706-003:FFmpeg本地文件任意读取漏洞安全预警

云安全团队

2017.06.27
栏目：安全资讯

尊敬的UCloud用户:

最近有白帽在HackerOne平台上报了ffmpeg漏洞，该漏洞利用FFmpeg的HLS播放列表处理方式，可导致本地文件曝光，目前POC已经公布，危害严重。请检查您所使用的FFmpeg是否在影响范围之内，并及时进行升级。

您使用的Uvideo和Ulive产品并不受此漏洞影响。

影响范围

FFmpeg 3.2.2

FFmpeg 3.2.5

FFmpeg 2.6.8

其它版本尚未测试，不确认是否受到影响

修复方案

1.请升级受影响版本至FFmpeg 3.3.2版本

2.将file://等危险协议类型添加到黑名单

漏洞详情

FFmpeg可处理HLS播放列表，而播放列表中已知可包含外部文件的援引。借由该特性，利用avi文件中的GAB2字幕块，可以通过XBIN codec获取到视频转换网站的本地文件。

参考链接

http://www.freebuf.com/vuls/138377.html

https://hackerone.com/reports/242831

*本平台所发布文章信息，版权归UCloud所有，如需转载请注明出处！

云安全团队

查看TA的所有文章