FFmepeg本地文件任意读取漏洞

近日，白帽在HackerOne平台上报了FFmpeg漏洞，该漏洞利用FFmpeg的HLS播放列表处理方式，可导致本地文件曝光，目前POC已经公开，安全风险高危，为了确保您的业务正常，防止数据泄露，建议您尽快排查和升级。

FFmpeg是一个免费的多媒体框架,可以运行音频和视频多种格式的录影、转换、流功能,能让用户访问几乎所有视频格式,包括mkv、flv、mov,VLC Media Player、Google Chrome浏览器都已经支持。

具体详情如下:

漏洞编号:

暂无

漏洞名称:

FFmpeg曝任意文件读取漏洞

官方评级:

高危

漏洞描述:

由于FFmpeg可处理HLS播放列表，而播放列表中已知可包含外部文件的援引。恶意攻击者可以利用精心构造的avi文件中的GAB2字幕块，上传构造搞的avi视频到使用FFmpeg的目标站点，可以通过XBIN codec获取到视频转换网站的本地文件(例如:查看/etc/passwd文件内容)，从而导致敏感数据信息泄露。

漏洞利用条件和方式:

远程利用

漏洞影响范围:

FFmpeg 2.6.8
FFmpeg 3.2.2
FFmpeg 3.2.5
漏洞检测:

确认是否使用了受影响版本

漏洞修复建议(或缓解措施):

目前官方最新版本为3.3.2，建议用户更新到最新版本
将file://等危险协议类型添加到黑名单,禁止读取高风险文件信息

情报来源:

http://www.freebuf.com/vuls/138377.html
https://hackerone.com/reports/242831