服务公告

全部公告 > 安全公告 > FFmpeg服务器端请求伪造多个漏洞安全预警

FFmpeg服务器端请求伪造多个漏洞安全预警

2016-05-09

一、漏洞概述

视频处理组件FFmpeg官方近日发布更新,修复了多个安全漏洞。FFmpeg未对file域协议进行有效限制,允许攻击者上传恶意视频,通过服务器端请求伪造恶意远程窃取服务器端本地文件。

官网说明:https://ffmpeg.org/security.html

二、漏洞级别

漏洞风险级别为高危。

三、影响范围

FFmpeg 2.8.6以下版本。

四、验证方法

在linux命令行中,进入ffmpeg安装目录,执行查看版本命令:

./ffmpeg –version

五、安全建议

升级到2.8.6版本;

官网下载链接:https://ffmpeg.org/download.html


注意:升级前请将资料备份,并进行充分测试。

 

附:Centos系统升级FFmpeg方法:

1. 下载FFmpeg软件包,地址:https://ffmpeg.org/download.html#releases

2. 解压并编译安装:

tar zxfv ffmpeg-2.8.7.tar.gz

cd ffmpeg-2.8.7

./configure --enable-shared --prefix=/usr/local/ffmpeg

make

make install


华为云服务客户服务中心
2016年5月9日