360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

标题: 【安全预警】关于FFmpeg任意文件读取漏洞通知 [打印本页]

作者: 360网站管家 时间: 2017-6-27 11:18
标题: 【安全预警】关于FFmpeg任意文件读取漏洞通知
目前漏洞利用程序已经在外部公开，黑客可以通过上传恶意制作的视频读取服务器上的敏感文件。

   为避免您的业务受影响，建议您及时开展自查，并尽快推动内部视频相关业务排查和FFmpeg升级更新，详细参见如下指引说明。

【漏洞概述】
该漏洞系HLS播放列表的缺陷导致本地信息泄露，被攻击者利用可通过上传恶意制作的视频来读取服务器的任意文件，如/etc 下  passwd等。

【风险等级】
高风险

【漏洞风险】
黑客可以通过上传恶意制作的视频，读取服务器上的敏感文件

【影响版本】
FFmpeg 3.3 系列：<3.3.2
FFmpeg 3.2 系列：<3.2.6
FFmpeg 3.1 系列：<3.1.9
FFmpeg 3.0 系列：全部
FFmpeg 2.8 系列：<2.8.12

【安全版本】
FFmpeg 3.3.2 was released on 2017-06-07
FFmpeg 3.2.6 was released on 2017-06-18
FFmpeg 3.1.9 was released on 2017-06-22
FFmpeg 2.8.12 was released on 2017-06-06

【修复建议】
升级FFmpeg到上述【安全版本】，官方地址：https://ffmpeg.org/download.html
请业务升级过程中注意测试兼容性。

【漏洞参考】
1）https://hackerone.com/reports/242831

2）https://hackerone.com/reports/226756

作者: 360网站管家 时间: 2017-6-27 11:25
值得注意

欢迎光临 360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程 (http://bbs.360wzgj.com/)