최근 FFmpeg의 HLS 재생목록 처리과정에서 로컬파일공개 가능한 취약점이 발견되었습니다.
FFmpeg는 오디오 및 비디오 포멧파일들을 처리하는데 사용되는 오픈소스 소프트웨어 입니다.
FFmpeg는 HLS 재생목록을 처리할 수 있으며, 알려진 재생목록은 외부 파일 호출을 포함하기도 합니다.
보안전문가는 avi파일 중의 GAB2자막모듈을 통해 FFmpeg의 이러한 특성 이용하면, XBIN codec을 통하여 비디오변환 웹사이트의 로컬파일들을 획득할 수 있다고 밝혔습니다.
또 다른 보안 전문가는 외부파일호출을 포함하는 HLS 재생목록을 이용하여 실제로 임의의 로컬파일을 읽어들이는 취약점을 재현해 내기도 했습니다.
이번에 발견된 취약점은 Google, Yahoo, Youtube등 대형 동영상 사이트 및 스트리밍서비스를 제공하는 업체들이 모두 영향을 받을 수 있기 때문에 빠른 패치가 필요합니다.
취약점 영향범위
FFmpeg 3.2.2, 3.2.5 및 2.6.8버전 (다른 버전들은 아직 취약 여부가 확인이 되지 않았기에, 담당자들은 해당 스크립트을 내려받아 직접 체크해 보시기를 권고드립니다.)
취약점 재현 방법
1) 스크립트 다운로드
2) 스크립트 실행 : python3 gen_xbin_avi.py file:///etc/passwd sxcurity.avi
3) https://arxius.io 접속 후 sxcurity.avi 업로드
4) 영상 업로드 후, 해당 영상을 클릭하여 재생하면 /etc/passwd내용 확인 가능
패치방법
FFmpeg를 3.3.2버전으로 업데이트
file://등 위험한 프로토콜 종류들을 블랙리스트에 추가
참고 :
Petya 랜섬웨어, WannaCry 처럼 급격히 전 세계로 확산 돼 (1) | 2017.06.28 |
---|---|
WannaCry가 사용했던 SMB취약점으로 유포중인 PETYA 랜섬웨어 최신버전 주의! (16) | 2017.06.28 |
마이크로소프트의 윈도우 10 내부 빌드 및 소스의 일부분 온라인에 유출 돼 (0) | 2017.06.26 |
Linux에서 Stack Clash 취약점 발견! (0) | 2017.06.26 |
잔인한 캥거루(Brutal Kangaroo): CIA가 개발한 인터넷이 연결 되지 않은 네트워크를 은밀히 해킹하는 악성코드 (3) | 2017.06.23 |
댓글 영역