【漏洞预警】FFmpeg曝任意文件读取漏洞

2017年06月27日 15:08 1378

最近有白帽在HackerOne平台上报了ffmpeg漏洞,该漏洞利用ffmpeg的HLS播放列表处理方式,可导致本地文件曝光。


漏洞描述

6月24日,HackerOne平台名为neex的白帽子针对俄罗斯最大社交网站VK.com上报了该漏洞,并因此获得1000美元奖金。


ffmpeg可处理HLS播放列表,而播放列表中已知可包含外部文件的援引。neex表示他借由该特性,利用avi文件中的GAB2字幕块,可以通过XBIN codec获取到视频转换网站的本地文件。


6月25日,另一位白帽子Corben Douglas (@sxcurity)表示他在看过neex的报告后进一步研究了ffmpeg,他针对发现的漏洞写了完整的重现过程,利用包含外部文件援引的HLS播放列表,导致可任意读取本地文件。




影响范围

漏洞盒子技术人员测试发现,FFmpeg 3.2.2、3.2.5和2.6.8版本均存在该漏洞,其它版本未经系统性测试,请按漏洞检测脚本进行自行排查。


漏洞盒子技术人员表示,该漏洞可导致读取本地任意文件,危害较大。经研究人员验证,Google,Yahoo,Youtube等门户、视听网站以及支持流转码服务的业务已被曝出存在该漏洞。国内支持流转码的网站也可能有存在该漏洞的风险,请速排查。


漏洞重现

下载脚本 https://github.com/neex/ffmpeg-avi-m3u-xbin/blob/master/gen_xbin_avi.py

2) 运行脚本:python3 gen_xbin_avi.py file:///etc/passwd sxcurity.avi

3) 访问https://arxius.io,上传sxcurity.avi

4) 等待上传处理视频

5) 录像处理完成后,点击播放就可以看到/etc/passwd的内容


示例:

显示/etc/passwd内容 : https://arxius.io/v/6c7d9a96

显示/etc/issue内容: https://arxius.io/v/5471dfe6


点此下载已经处理的avi文件


修复方案

1.请升级受影响版本至FFmpeg 3.3.2版本

2.将file://等危险协议类型添加到黑名单



* 本文转载自FreeBuf,原文地址:http://www.freebuf.com/vuls/138377.html


阿里聚安全

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。

标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录