製品・ソフトウェアに関する情報

JVN脆弱性詳細

FFmpeg における cross-origin 攻撃を実行される脆弱性

タイトル	FFmpeg における cross-origin 攻撃を実行される脆弱性
概要	FFmpeg には、cross-origin 攻撃を実行され、任意のファイルを読まれる脆弱性が存在します。なお、JVNVU#92302510 では、CWE-201 として公開されています。 CWE-201: Information Exposure Through Sent Data http://cwe.mitre.org/data/definitions/201.html
想定される影響	第三者により、HTTP Live Streaming (HLS) M3U8 ファイルの concat プロトコルを使用して、ローカルファイルの最初の行を含む URL 文字列を持つ外部 HTTP リクエストを実行されることで、cross-origin 攻撃を実行され、任意のファイルを読まれる可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2016年1月14日0:00
登録日	2016年1月19日11:48
最終更新日	2016年1月28日10:43

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:P/I:N/A:N

影響を受けるシステム

FFmpeg

FFmpeg 2.x

Libav

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-1897	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1897
2	CVE-2016-1897	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1897
National Vulnerability Database (NVD)
3	CVE-2016-1897	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1897
4	CVE-2016-1897	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1897

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
2	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
3	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther
4	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
FFmpeg
1	Top Page	http://www.ffmpeg.org/
2	Top Page	http://www.ffmpeg.org/
Libav
3	Top Page	http://www.libav.org/
4	Top Page	http://www.libav.org/

その他

No	名前	URL
JVN
1	JVNVU#92302510	http://jvn.jp/vu/JVNVU92302510/
2	JVNVU#92302510	http://jvn.jp/vu/JVNVU92302510/
US-CERT Vulnerability Note
3	VU#772447	https://www.kb.cert.org/vuls/id/772447
4	VU#772447	https://www.kb.cert.org/vuls/id/772447
関連文書
5	Опасное видео: как я нашёл уязвимость в видеохостингах и не умер через 7 дней	http://habrahabr.ru/company/mailru/blog/274855/
6	Опасное видео: как я нашёл уязвимость в видеохостингах и не умер через 7 дней	http://habrahabr.ru/company/mailru/blog/274855/
7	How to handle media files from untrusted sources?	http://security.stackexchange.com/questions/110644/how-to-handle-media-files-from-untrusted-sources
8	How to handle media files from untrusted sources?	http://security.stackexchange.com/questions/110644/how-to-handle-media-files-from-untrusted-sources
9	Re: Fwd: FFmpeg: stealing local files with HLS+concat	http://www.openwall.com/lists/oss-security/2016/01/14/1
10	Re: Fwd: FFmpeg: stealing local files with HLS+concat	http://www.openwall.com/lists/oss-security/2016/01/14/1

変更履歴

No	変更内容	変更日
0	[2016年01月18日] 掲載 [2016年01月28日] 概要：内容を更新影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：Libav (Top Page) を追加参考情報：JVN (JVNVU#92302510) を追加参考情報：US-CERT Vulnerability Note (VU#772447) を追加参考情報：関連文書 (How to handle media files from untrusted sources?) を追加参考情報：関連文書 (Опасное видео: как я нашёл уязвимость в видеохостингах и не умер через 7 дней) を追加	2018年2月17日10:37
0	[2016年01月18日] 掲載 [2016年01月28日] 概要：内容を更新影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：Libav (Top Page) を追加参考情報：JVN (JVNVU#92302510) を追加参考情報：US-CERT Vulnerability Note (VU#772447) を追加参考情報：関連文書 (How to handle media files from untrusted sources?) を追加参考情報：関連文書 (Опасное видео: как я нашёл уязвимость в видеохостингах и не умер через 7 дней) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-1897

概要	FFmpeg 2.x allows remote attackers to conduct cross-origin attacks and read arbitrary files by using the concat protocol in an HTTP Live Streaming (HLS) M3U8 file, leading to an external HTTP request in which the URL string contains the first line of a local file.
公表日	2016年1月15日12:59
登録日	2021年1月26日14:08
最終更新日	2024年11月21日11:47

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:ffmpeg:ffmpeg:2.2.12:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.11:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.8:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.9:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.10:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.15:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.14:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8:dev::::::
cpe:2.3:a:ffmpeg:ffmpeg:2.3.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.9:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.8:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.8:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.8:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.9:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.11:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.10:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.13:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.16:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.12:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.2:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:canonical:ubuntu_linux:12.04::::lts:::

構成3		以上	以下	より上	未満
cpe:2.3:o:opensuse:leap:42.1:::::::*

構成1	以上	以下	より上	未満
cpe:2.3:a:ffmpeg:ffmpeg:2.2.12:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.11:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.8:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.9:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.10:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.15:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.14:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8:dev::::::
cpe:2.3:a:ffmpeg:ffmpeg:2.3.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.9:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.8:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.8:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.8:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.9:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.7.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.11:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.8.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.3:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.10:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.13:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.16:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.3.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.6.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.6:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.4.12:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.1:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.7:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.2.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.1.2:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.0.5:::::::*
cpe:2.3:a:ffmpeg:ffmpeg:2.5.2:::::::*

No	URL	タグ
1	http://habrahabr.ru/company/mailru/blog/274855	Exploit
2	http://habrahabr.ru/company/mailru/blog/274855	Exploit
3	http://lists.opensuse.org/opensuse-security-announce/2016-01/msg00034.html
4	http://lists.opensuse.org/opensuse-security-announce/2016-01/msg00034.html
5	http://security.stackexchange.com/questions/110644	Exploit
6	http://security.stackexchange.com/questions/110644	Exploit
7	http://www.debian.org/security/2016/dsa-3506
8	http://www.debian.org/security/2016/dsa-3506
9	http://www.openwall.com/lists/oss-security/2016/01/14/1
10	http://www.openwall.com/lists/oss-security/2016/01/14/1
11	http://www.securityfocus.com/bid/80501
12	http://www.securityfocus.com/bid/80501
13	http://www.securitytracker.com/id/1034932
14	http://www.securitytracker.com/id/1034932
15	http://www.slackware.com/security/viewer.php?l=slackware-security&y=2016&m=slackware-security.529036
16	http://www.slackware.com/security/viewer.php?l=slackware-security&y=2016&m=slackware-security.529036
17	http://www.ubuntu.com/usn/USN-2944-1
18	http://www.ubuntu.com/usn/USN-2944-1
19	https://security.gentoo.org/glsa/201606-09
20	https://security.gentoo.org/glsa/201606-09
21	https://security.gentoo.org/glsa/201705-08
22	https://security.gentoo.org/glsa/201705-08
23	https://www.kb.cert.org/vuls/id/772447
24	https://www.kb.cert.org/vuls/id/772447