漏洞預警 | FFmpeg曝任意文件讀取漏洞
最近有白帽在HackerOne平台上報了ffmpeg漏洞,該漏洞利用ffmpeg的HLS播放列表處理方式,可導致本地文件曝光。
漏洞描述
6月24日,HackerOne平台名為neex的白帽子針對俄羅斯最大社交網站VK.com上報了該漏洞,並因此獲得1000美元獎金。
ffmpeg可處理HLS播放列表,而播放列表中已知可包含外部文件的援引。neex表示他藉由該特性,利用avi文件中的GAB2字幕塊,可以通過XBIN codec獲取到視頻轉換網站的本地文件。
6月25日,另一位白帽子Corben Douglas (@sxcurity)表示他在看過neex的報告後進一步研究了ffmpeg,他針對發現的漏洞寫了完整的重現過程,利用包含外部文件援引的HLS播放列表,導致可任意讀取本地文件。
影響範圍
漏洞盒子技術人員測試發現,FFmpeg 3.2.2、3.2.5和2.6.8版本均存在該漏洞,其它版本未經系統性測試,請按漏洞檢測腳本進行自行排查。
漏洞盒子技術人員表示,該漏洞可導致讀取本地任意文件,危害較大。經研究人員驗證,Google,Yahoo,Youtube等門戶、視聽網站以及支持流轉碼服務的業務已被曝出存在該漏洞。國內支持流轉碼的網站也可能有存在該漏洞的風險,請速排查。
漏洞重現
1) 下載腳本 https://github.com/neex/ffmpeg-avi-m3u-xbin/blob/master/gen_xbin_avi.py
2) 運行腳本:python3 gen_xbin_avi.py file:///etc/passwd sxcurity.avi
3) 訪問https://arxius.io,上傳sxcurity.avi
4) 等待上傳處理視頻
5) 錄像處理完成後,點擊播放就可以看到/etc/passwd的內容
示例:
顯示/etc/passwd內容 : https://arxius.io/v/6c7d9a96
顯示/etc/issue內容: https://arxius.io/v/5471dfe6
點此閱讀原文下載已經處理的avi文件
修復方案
1.請升級受影響版本至FFmpeg 3.3.2版本
2.將file://等危險協議類型添加到黑名單
*參考來源:HackerOne,本文作者:Sphinx,轉載請註明來自FreeBuf.COM
※各國被黑客泄露的信息都是真的嗎?揭秘真相森林中的重重謊言
※看我如何利用開發人員所犯的小錯誤來盜取各種tokens
※安卓新型惡意木馬Xavier的發展過程和技術分析
※Google和必應都無法替代的10大深網搜索引擎
TAG:FreeBuf |
※iMessage漏洞致iPhone上任意文件讀取
※Apache爆日誌文件漏洞
※WordPress插件WooCommerce任意文件刪除漏洞分析
※Discuz全版本任意文件刪除漏洞
※Grammarly漏洞曝光:任意網站可訪問用戶隱私文檔數據
※Apache Ignite 高危漏洞預警:攻擊者可執行任意代碼
※蘋果macOS「快速預覽」曝漏洞:泄露加密文件
※Windows 0day任意文件覆蓋漏洞分析與驗證
※Windows 0 day任意數據覆寫文件漏洞
※利用Microsoft Edge漏洞竊取文件
※KindEditor上傳漏洞預警
※Gmail漏洞可任意修改發件人地址
※俄黑客公布Steam漏洞:可免費獲取任意遊戲CD Key
※Intel CPU Spoiler漏洞預警
※蘋果macOS漏洞允許惡意應用訪問Safari
※Chrome 0day漏洞:不要用Chrome查看pdf文件
※Apple FaceTime 功能出現隱私問題漏洞
※頭條:惡意Word文件中再現Adobe Flash漏洞
※Safari信息泄露漏洞分析
※蘋果Apple Watch對講機App曝出竊聽漏洞