Исправление
Psych218,
(текущая версия)
:
Стоп, а как злоумышленник получит содержимое файла-то? По сети отправится? То есть, там, выходит, выполнение произвольного кода? Зачем тогда так ветиевато писать, и так понятно, чем это может грозить (и не только этим). Решето, конечно, эпическое…
upd:
Перешёл по ссылке, стало понятно. Нет, не произвольный код. Но уязвимость всё равно эпичная.
В качестве мер защиты предлагается запускать ffmpeg в изолированном окружении, либо ограничить ему доступ к сети.
Можно просто пересобрать ffmpeg без поддержки HLS (HTTP Live Streaming). Уязвимость реализуется через него.
Исправление
Psych218,
:
Стоп, а как злоумышленник получит содержимое файла-то? По сети отправится? То есть, там, выходит, выполнение произвольного кода? Зачем тогда так ветиевато писать, и так понятно, чем это может грозить (и не только этим). Решето, конечно, эпическое…
Перешёл по ссылке, стало понятно. Нет, не произвольный код. Но уязвимость всё равно эпичная.
Исходная версия
Psych218,
:
Стоп, а как злоумышленник получит содержимое файла-то? По сети отправится? То есть, там, выходит, выполнение произвольного кода? Зачем тогда так ветиевато писать, и так понятно, чем это может грозить (и не только этим). Решето, конечно, эпическое…