【漏洞公告】CVE-2016-1897，CVE-2016-1898：FFmpeg 2.x 远程文件读取漏洞

漏洞描述

FFmpeg 2.x是一款多媒体编码、解码框架。近日FFmpeg 2.x被披露存在高危漏洞，可被利用来远程窃取本地文件，漏洞编号为CVE-2016-1897、CVE-2016-1898。此漏洞允许攻击者通过上传构造的hls切片索引文件，远程窃取服务器端本地文件。

影响范围

• FFmpeg 2.8.x < 2.8.5
• FFmpeg 2.7.x < 2.7.5
• FFmpeg 2.6.x < 2.6.7
• FFmpeg 2.5.x < 2.5.10

漏洞修复

• 使用云盾Web应用防火墙拦截此漏洞的攻击代码。

• 升级FFmpeg至最新版本。

  • FFmpeg 2.8.x系列升级至2.8.5或以上。
  • FFmpeg 2.7.x系列升级至2.7.5或以上。
  • FFmpeg 2.6.x系列升级至2.6.7或以上。
  • FFmpeg 2.5.x系列升级至2.5.10或以上。