FFmpeg 로컬파일공개 취약점 발견!

최근 FFmpeg의 HLS 재생목록 처리과정에서 로컬파일공개 가능한 취약점이 발견되었습니다. 

FFmpeg는 오디오 및 비디오 포멧파일들을 처리하는데 사용되는 오픈소스 소프트웨어 입니다. 

FFmpeg는 HLS 재생목록을 처리할 수 있으며, 알려진 재생목록은 외부 파일 호출을 포함하기도 합니다. 

보안전문가는 avi파일 중의 GAB2자막모듈을 통해 FFmpeg의 이러한 특성 이용하면,   XBIN codec을 통하여 비디오변환 웹사이트의 로컬파일들을 획득할 수 있다고 밝혔습니다. 

또 다른 보안 전문가는 외부파일호출을 포함하는 HLS 재생목록을 이용하여 실제로 임의의 로컬파일을 읽어들이는 취약점을 재현해 내기도 했습니다. 

이번에 발견된 취약점은 Google, Yahoo, Youtube등 대형 동영상 사이트 및 스트리밍서비스를 제공하는 업체들이 모두 영향을 받을 수 있기 때문에 빠른 패치가 필요합니다. 

취약점 영향범위

FFmpeg 3.2.2, 3.2.5 및 2.6.8버전 (다른 버전들은 아직 취약 여부가 확인이 되지 않았기에, 담당자들은 해당 스크립트을 내려받아 직접 체크해 보시기를 권고드립니다.)

취약점 재현 방법

1) 스크립트 다운로드 

2) 스크립트 실행 : python3 gen_xbin_avi.py file:///etc/passwd sxcurity.avi

3) https://arxius.io 접속 후 sxcurity.avi 업로드

4) 영상 업로드 후, 해당 영상을 클릭하여 재생하면 /etc/passwd내용 확인 가능

패치방법

FFmpeg를 3.3.2버전으로 업데이트

file://등 위험한 프로토콜 종류들을 블랙리스트에 추가

참고 : 

https://hackerone.com/reports/242831