FFmpeg任意文件读取漏洞通知

2017-06-27 11:19:42
Dear user

您好!视频处理组件FFmpeg被曝出存在任意文件读取漏洞,目前漏洞利用程序已经在外部公开,黑客可以通过上传恶意制作的视频读取服务器上的敏感文件。

为避免您的业务受影响,我们建议您及时开展自查,并尽快推动内部视频相关业务排查和FFmpeg升级更新,详细参见如下指引说明:

【漏洞概述】
该漏洞系HLS播放列表的缺陷导致本地信息泄露,被攻击者利用可通过上传恶意制作的视频来读取服务器的任意文件,如/etc/passwd等;

【风险等级】
高风险

【漏洞影响】
黑客可以通过上传恶意制作的视频,读取服务器上的敏感文件;

【影响版本】
FFmpeg 3.3 系列:<3.3.2
FFmpeg 3.2 系列:<3.2.6
FFmpeg 3.1 系列:<3.1.9
FFmpeg 3.0 系列:全部
FFmpeg 2.8 系列:<2.8.12;

【安全版本】
FFmpeg 3.3.2 was released on 2017-06-07
FFmpeg 3.2.6 was released on 2017-06-18
FFmpeg 3.1.9 was released on 2017-06-22
FFmpeg 2.8.12 was released on 2017-06-06;

【修复建议】
升级FFmpeg到上述【安全版本】,官方地址:https://ffmpeg.org/download.html
请业务升级过程中注意测试兼容性;

【相关参考】
1)https://hackerone.com/reports/242831
2)https://hackerone.com/reports/226756

JD Cloud team

2017-06-27 11:19:42

This content does not have an English version, but a Chinese version, as shown below.

Do not show this message again.
×