【安全预警】关于FFmpeg任意文件读取漏洞通知
目前漏洞利用程序已经在外部公开,黑客可以通过上传恶意制作的视频读取服务器上的敏感文件。为避免您的业务受影响,建议您及时开展自查,并尽快推动内部视频相关业务排查和FFmpeg升级更新,详细参见如下指引说明。
【漏洞概述】
该漏洞系HLS播放列表的缺陷导致本地信息泄露,被攻击者利用可通过上传恶意制作的视频来读取服务器的任意文件,如/etc 下passwd等。
【风险等级】
高风险
【漏洞风险】
黑客可以通过上传恶意制作的视频,读取服务器上的敏感文件
【影响版本】
FFmpeg 3.3 系列:<3.3.2
FFmpeg 3.2 系列:<3.2.6
FFmpeg 3.1 系列:<3.1.9
FFmpeg 3.0 系列:全部
FFmpeg 2.8 系列:<2.8.12
【安全版本】
FFmpeg 3.3.2 was released on 2017-06-07
FFmpeg 3.2.6 was released on 2017-06-18
FFmpeg 3.1.9 was released on 2017-06-22
FFmpeg 2.8.12 was released on 2017-06-06
【修复建议】
升级FFmpeg到上述【安全版本】,官方地址:https://ffmpeg.org/download.html
请业务升级过程中注意测试兼容性。
【漏洞参考】
1)https://hackerone.com/reports/242831
2)https://hackerone.com/reports/226756
值得注意
页:
[1]