FFmpeg 2.x 远程文件读取漏洞

时间:2016-05-09 14:40:34来源:技术部作者:梦之想

FFmpeg 2.x 远程文件读取漏洞

日期

2016-5-9

严重性

高危

CVE编号

CVE-2016-1897CVE-2016-1898

影响版本

FFmpeg  2.8.x系列小于2.8.5FFmpeg 2.7.x系列小于2.7.5FFmpeg 2.6.x系列小于2.6.7FFmpeg 2.5.x系列小于2.5.10

漏洞|事件危害

FFmpeg是一套可以用来记录、转换数字音频、视频,并能将其转化为流的开源计算机程序。采用LGPL或GPL许可证。它提供了录制、转换以及流化音视频的完整解决方案。它包含了非常先进的音频/视频编解码库libavcodec,为了保证高可移植性和编解码质量,libavcodec里很多codec都是从头开发的。

FFmpeg 2.x是一款多媒体编码、解码框架。在现有环境中,百度云等大厂商均在使用。此漏洞允许攻击者通过上传构造的hls切片索引文件,远程窃取服务器端本地文件。FFmpeg 2.x被爆高危漏洞(CVE-2016-1897、CVE-2016-1898),黑客可通过上传构造的hls切片索引文件,远程窃取服务器端本地文件

漏洞|预警

前提:使用了FFmpeg流媒体工具

 

假如用户使用了FFmeg流媒体工具,攻击者可以上传特制的视频文件。在视频文件中插入想要读取的文件路径。

当用户网站接收到上传文件后,通过FFmeg就可以自动读取相对应路径文件。

a. 测试环境:

上传测试文件

b. 结果:

网页poc执行测试结果,读取/etc/passwd文件内容。

漏洞|解决方案

FFmpeg已经及时发布修复版本,可以通过更新版本修复漏洞。


关注梦之想官方微信公众号获取最新漏洞动态:XWAYTech