FFmpeg曝任意文件讀取漏洞

最近有白帽在HackerOne平台上報了ffmpeg漏洞，該漏洞利用ffmpeg的HLS播放列表處理方式，可導致本地文件曝光。

漏洞描述

6月24日，HackerOne平台名為neex的白帽子針對俄羅斯最大社交網站VK.com上報了該漏洞，並因此獲得1000美元獎金。

ffmpeg可處理HLS播放列表，而播放列表中已知可包含外部文件的援引。neex表示他藉由該特性，利用avi文件中的GAB2字幕塊，可以通過XBIN codec獲取到視頻轉換網站的本地文件。

6月25日，另一位白帽子Corben Douglas(@sxcurity)表示他在看過neex的報告後進一步研究了ffmpeg，他針對發現的漏洞寫了完整的重現過程，利用包含外部文件援引的HLS播放列表，導致可任意讀取本地文件。

影響範圍

漏洞盒子技術人員測試發現，FFmpeg

3.2.2、3.2.5和2.6.8版本均存在該漏洞，其它版本未經系統性測試，請按漏洞檢測腳本進行自行排查。

漏洞盒子技術人員表示，該漏洞可導致讀取本地任意文件，危害較大。經研究人員驗證，Google，Yahoo，Youtube等門戶、視聽網站以及支持流轉碼服務的業務已被曝出存在該漏洞。國內支持流轉碼的網站也可能有存在該漏洞的風險，請速排查。

漏洞重現

1) 下載腳本https://github.com/neex/ffmpeg-avi-m3u-xbin/blob/master/gen_xbin_avi.py

2) 運行腳本：python3 gen_xbin_avi.py file:///etc/passwd sxcurity.avi

3) 訪問https://arxius.io，上傳sxcurity.avi

4) 等待上傳處理視頻

5) 錄像處理完成後，點擊播放就可以看到/etc/passwd的內容

示例：

顯示/etc/passwd內容 :https://arxius.io/v/6c7d9a96

顯示/etc/issue內容:https://arxius.io/v/5471dfe6

漏洞PoC

點此下載已經處理的avi文件

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！