【安全预警】关于FFmpeg任意文件读取漏洞通知

360网站管家 · 发表于 2017-6-27 11:18:09

目前漏洞利用程序已经在外部公开，黑客可以通过上传恶意制作的视频读取服务器上的敏感文件。

   为避免您的业务受影响，建议您及时开展自查，并尽快推动内部视频相关业务排查和FFmpeg升级更新，详细参见如下指引说明。

【漏洞概述】
该漏洞系HLS播放列表的缺陷导致本地信息泄露，被攻击者利用可通过上传恶意制作的视频来读取服务器的任意文件，如/etc 下  passwd等。

【风险等级】
高风险

【漏洞风险】
黑客可以通过上传恶意制作的视频，读取服务器上的敏感文件

【影响版本】
FFmpeg 3.3 系列：<3.3.2
FFmpeg 3.2 系列：<3.2.6
FFmpeg 3.1 系列：<3.1.9
FFmpeg 3.0 系列：全部
FFmpeg 2.8 系列：<2.8.12

【安全版本】
FFmpeg 3.3.2 was released on 2017-06-07
FFmpeg 3.2.6 was released on 2017-06-18
FFmpeg 3.1.9 was released on 2017-06-22
FFmpeg 2.8.12 was released on 2017-06-06

【修复建议】
升级FFmpeg到上述【安全版本】，官方地址：https://ffmpeg.org/download.html
请业务升级过程中注意测试兼容性。

【漏洞参考】
1）https://hackerone.com/reports/242831

2）https://hackerone.com/reports/226756

360网站管家 · 发表于 2017-6-27 11:25:46

值得注意

		自动登录	找回密码
密码			快速注册