Два три поста выше посмотри.

Apple не придумывала «concat:» внутри play-листов :)

сработал только --disable-demuxer=hls

WARNING: Option --disable-demuxer=applehttp did not match anything

Кстати, по поводу Mail.ru:

https://www.google.com/search?q=site:m.mail.ru "cgi" "auth" "password"&sa...

https://www.google.com/search?q=site:auth.mail.ru "cgi" "auth&...

Нет, наоборот. Злоумышленник любым способом передаёт тебе вредоносный видеофайл. Как только ты его скачал и он просто отобразился в файловом менеджере - опаньки.

Конвертирование текстовых файлов в видео? Эпично.

Что?

Неужели до сих пор фикс не выпустили?

такие новости только под ананимусом выкладывать стоит.

Можешь код профиля Apparmor для Firefox выложить?

хех мда

Вся суть опенсорсного дерьма, в проприетарном правильном ПО такого нет.

Господа хорошие, дайте, пожалуйста, ссылку на авторитетный источник, где написано про эту уязвимость.

Вот не понимаю я, где логика. Человек, который демонстрирует уязвимость и эксплоит на конферешке, а также публикует всё это на хабре, официальные багрепорты делает закрытыми, «потому что security issue».

Ооо...... ну это уж вообще, спасибо что напомнил

официальные багрепорты делает закрытыми, «потому что security issue».

На сообщения в security лист реагируют быстрее. То, что он закрытый, это так уж получилось.

Хотя мог бы и отдельно патчи опубликовать, для обсуждения.

Можно разжевать, пожалуйста?

нет там просто хабра-кармодрочинг и чсв

Вот не понимаю я, где логика.

Логика любого бактрекера. Баги, помеченные как security issue, публично показываются только после закрытия. Куда он тебе ссылку даст ? Разве что, на том же хабре опубликует.

официальные багрепорты делает закрытыми

Не он делает, а разработчик, которому это отправлено. Он же не знает про хабр. :-)

Я тоже не совсем понимаю. Как так? Здесь он об этом рассказывает, 22.10.2015, видео Uploaded on Nov 2, 2015.

Статья пишется спустя 2+ месяца (а также, как я понял, только после нее - багрепорт и патч). WTF?

Курсором на title страниц ткни и посмотри адрес.

Товарищи безопасники, поясните, как нужно собрать ffmpeg из исходников, чтобы не быть уязвимым через него?

Так я не понял. Обычному пользователю на десктопе паниковать стоит?

Да! Начинай...

Лучше по ссылке перейти. Анон как обычно не умеет в новости.

А сам то ты умеешь чего-нибудь, кроме потрепаться?

Да. бегать по кругу целые сутки и орать «ААаааа! меня могут взломать!!!»

Уязвимость в FFMpeg

Очень спорно.

как нужно собрать ffmpeg из исходников, чтобы не быть уязвимым через него?

--disable-protocol=concat --disable-protocol=subfile --disable-demuxer=hls

И не забудь о том, что MPlayer статически линкуется с ffmpeg. Так что если он используется, его тоже надо пересобирать.

А версия, которая в deb-multimedia также подвержена этой уязвимости?

Пиаррр!

Пиар акция, ребята давайте ещё погромче и потолще!

Блин, баг-фиксы у нас в рабочем порядке идут, а тут? ...короче все в бегите в бомбоубежище.

Что насчёт gstreamer и libav? Их тоже пересобирать надо?

Уязвимость в FFMpeg, позволяющая читать любые файлы в системе (комментарий)

И с какими параметрами собирать libav?

понятия не имею

чисто по факту-только владелец серверов ютуба мог такое сделать,ибо кроме ютуба нигде в интернете видео не смотрю,как и большинство(да понятно что даже на лоре можно встроить скрытое видео которое будет грузиться и сливать мои файлы...но будем реалистами)

интересная уязвимость,но не сенсационная-очевидно что все «тумбайлеры» или кастомные «архиваторы» или «просмоторщики картинок»-имеют миллион уязвимостей,и уж такой монстр как ffmpeg темболее,и да-смеюсь в лицо тем кто с «рабочего» компьютера пользуется браузером

А вам не кажется, что это вброс шиндошерцев? Как проверить на себе? Хочу убедиться...

Запустить apache сервер и поставить/добавить туда скрипт для конвертации?

Так я не понял. Обычному пользователю на десктопе паниковать стоит?

создай отдельного юзера назови БРОУЗЕР,запрети ему все доступы в твой домашний каталог,везде кроме /home бля юзера браузер,и запускай браузер от имени юзера браузер

ну и про «аплоад» скорость незабывай-что она у большинства ниже 100кбайт/сек,тоесть аплоадить чтото приличное фактически невозможно

но учитывая что ffmpeg встроен в тойже PS3/4 или айфоне,или файрфоксе для винды-то да эта уязвимость дает больше возможностей для развертки ботнета,или взлома,но возможностей и так слишком много

И с какими параметрами собирать libav?

Те же самые должны подойти. Вряд ли в libav переименовали «filter» и «protocol» во что-то другое. Это было бы глупо.

Что насчёт gstreamer и libav?

В случае с GStreamer утекало название файла с полным путём. Так как он обычно где-то в /home/username/some/other/path/file.mp4, путь раскрывает имя пользователя.

libav мало чем в этих вопросах отличается от ffmpeg.

но учитывая что ffmpeg встроен в тойже PS3/4 или айфоне

Firefox на тестовый файл ругнулся и написал, что это не MP4 файл, а что это такое, он не знает. В нём свой код для разбора контейнеров, libavformat он для этого не пользуется. Скорее всего, так же и с остальными.

например, /etc/passwd

Можно полностью отобрать у юзеров права на подобные файлы

Во-первых, смысла нет. Во-вторых, нельзя, эта инфа не зря открыта.

Вот, блин, я думал, что всё просто. Я просто админ localhost'a, не осилю пока что эту процедуру. Но обязательно попробую. Спасибо за наводку.

Эээ? Это политика рассылок security. Другое дело, что информация открыта ВСЕМ до того момента, как она будет официально исправлена и вообще отрапортована... Без чётких инструкций по WA. Но от Mail.ru я другого не ожидал.

Поднять nginx и подготовить два файла: header.m3u8 и test.mkv, содержимое можно взять (с адаптацией под localhost) на хабре. FFmpeg запускать как-то так:

ffmpeg -v debug -i test.mkv out.mkv

debug - выведет дампы http запросов, там можно увидеть, что уходить к HTTP серверу. Ну или смотреть логи сервера. Либо подсовывать CGI и смотреть внутри, что пришло.

Отмечу, через HTTP запросы у меня получить весь файл ни при помощи file, ни при помощи subfile не получилось. Только первую строку.

hls и subfile явно сильно. concat должно хватить. Или я что-то пропустил?

При чём тут свободный софт, если эта уязвимость появилась по вине Apple?

В свободном софте вечно находится какой-нибудь «эппл», который делает этот софт некачественным.

Вот, самая актуальная версия у меня тут: https://build.opensuse.org/package/show/home:Warhammer40k:stuff/firefox-appar...

Профиль зарпещает файрфоксу доступ ко всему важному в локальной фс. Загрузки идут в каталог /mnt/downloads. Работает flash плагин на основе chromium-pepper-flash, расширение flashgot+wget+xterm.

Для конкретного дистрибутива и файрфокса, что-то может отличаться немного. Иногда нахожу в профиле баги\недоделки и обновляю, если будут какие-то предложения по улучшению - пишите.

большинство в браузерах смотрит видео флешем, там вроде нет ffmpeg

Мне они оказались не нужны, так что я их обрубил, с испугу. Оказалось, что mpv парсит плейлисты сам.

Зато решето там всё равно есть.