Portál AbcLinuxu, 3. května 2025 20:43

Chyby ve FFmpeg umožňují vzdálené čtení souborů

Chyby ve FFmpegu, CVE-2016-1897 a CVE-2016-1898, umožňují pomocí HTTP Live Streamingu otevřít lokální soubory pomocí file:// protokolu a posílat je jako součást HTTP požadavku na zvolený server. Postiženy jsou i aplikace používající FFmpeg jako knihovnu, například prohlížeč Chrome, MPlayer nebo desktopová prostředí automaticky vytvářející náhledy souborů. Hacker News, oss-sec.

16.1.2016 21:32 | Jendа | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

16.1.2016 21:39 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Odpovědět | Sbalit | Link | Blokovat | Admin
Opraveno ve verzích 2.8.5, 2.7.5, 2.6.7 a 2.5.10.
17.1.2016 01:07 Jardík
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Odpovědět | Sbalit | Link | Blokovat | Admin
No, ještě že JardikPlayer ffmpeg nepoužívá.
17.1.2016 08:13 atirage21 | skóre: 11 | blog: attila
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Odpovědět | Sbalit | Link | Blokovat | Admin
Tých chýb je viacero, napríklad pre dekodovanie náročnejšieho videa v divxe, alebo celková náročnosť na procesor, ak to porovnám s platenými kodékmi v rámci fluendo - one play cez gstreamer.
17.1.2016 15:43 Ovocníček
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Dost pochybuju, že je fluendo rychlejší - není rozdíl v konverzi YUV-RGB (to je ale džob rendereru, měla by to dělat grafická karta). Obvykle dekodéry v FFMpegu jsou nejvýkonnější, asi s výjimkou HEVC, na který vývojáři dělající SIMD trochu kašlou (co jsem koukal tak s nadějí, že jim za to jednou někdo zaplatí).
17.1.2016 16:32 atirage21 | skóre: 11 | blog: attila
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
No mám iné skúsenosti. Jednak niektoré avi s vyšším bitratom sú viac rozkockatené a roztrasené (dokonca až nepozareteľne pri dnešných veľkostiach monitorov), namiesto bieleho svetla prostredia vo videozázname cez ffmpeg je slabo modré svetlo v porovnaní s fluendo, a taktiež nefunguje úplne dobre multitasking pi rozličných kodekoch (jedno jadro mi ide na 60 % v takte 2100 mhz, kým pri fluende to ide hladko a vyladene na viacerých jadrách po 10 % pri frekvencií 900 mhz). Testované na počíači s procesorom i7, nvidia quadro 880m, s relatívne novým linux mintom 17.2
17.1.2016 16:42 atirage21 | skóre: 11 | blog: attila
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Ešte dodám, že som to testoval pred polrokom. Ako som zakúpil fluendo kodeky, tak si dokonca pochvaľujem mnou nenávidený totem. Kvalitu obrazu je možné jednoducho porovnať, ak si pustíte vedľa seba ten istý záznam v rovnakom čase na tom istom hardwari.
17.1.2016 16:55 atirage21 | skóre: 11 | blog: attila
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
A Totem má aj niečo ekologické, čo som veľmi dlho hľadal medzi prehrávačmi v linuxe - možnosť uspať alebo vypnúť pc po prehratí filmu (ak by človek zaspal): https://github.com/greenarrow/sleepy-totem
18.1.2016 13:26 Jiří Lisický | skóre: 31 | blog: JIL_blog | Olomouc
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů 
mplayer vecernicek.avi; poweroff
17.1.2016 17:39 Ovocníček
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Kvalitu obrazu je možné jednoducho porovnať, ak si pustíte vedľa seba ten istý záznam v rovnakom čase na tom istom hardwari.
Ne vždy. Může dojít k tomu, že jeden program zabere hardwarové dekodéry a nepustí k nim jiné, a totéž se ještě častěji stává s HW akcelerací výstupu na GPU. Jinak u většiny kodeků je rozdílný výstup prostě chyba (u mpeg1/2/mpeg4asp je určitá tolerance kvůli nepřesnému DCT, ale nic velmi pozorovatelného). Formáty jako H.264 a novější mají bit-exact dekódování a FFMpeg na ně má regresní testy které to kontrolují (ale kontrolované jsou i ty starší, takže rozbité dekódování je rozhodně nestandardní projev). Nebyl miscompilovaný?
17.1.2016 17:42 Ovocníček
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
No mám iné skúsenosti. Jednak niektoré avi s vyšším bitratom sú viac rozkockatené a roztrasené (dokonca až nepozareteľne pri dnešných veľkostiach monitorov)
Tohle bych si tipnul že bude v rozdílném nastavení post processingu (deblocking a deringing etc, IMHO to jenom rozmazává zbytky detailů, které v tom videu zbyly, takže je to akorát ještě horší než předtím, i když třeba některé kompresní artefatky zmizely). Tipl bych si, že FFmpeg ve výchozím nastavení ho neprovádí pokud si to uživatel nenastaví, kdežto Fluendo ho má nastavený na zapnuto? Za to bych se teda na FF nezlobil.
17.1.2016 18:43 atirage21 | skóre: 11 | blog: attila
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
To roztrasenie sa prejavovalo akoby posunutím niektorých farieb/odtienov (cca 2mm), a pri pohybe scény to vyzeralo skôr na 3D záznam a nie na bežné video, keď niektoré časti osôb boli o čosi posunuté. Ako som už písal, formátom bol divx s vyšším bitratom. Teraz som si ešte spomenul, že pri Toteme s fluendo to nerobilo (malo by mať podporu vdpau a va-api), pričom v ffmepgu sa to prejavilo pri zapnutom vdpau. Takže možno je chyba medzi ffmpeg a vdpau, ale iba u videa s vyšším bitratom.

17.1.2016 18:57 atirage21 | skóre: 11 | blog: attila
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Ešte ma to napadlo, že či to možno nebude s ovladačmi Nouveau, lebo v rámci vdpauinfo chýba výpis za formáty oproti ovládačom nvidia pri tej istej grafickej karte:

DIVX4_QMOBILE DIVX4_MOBILE DIVX4_HOME_THEATER DIVX4_HD_1080P DIVX5_QMOBILE DIVX5_MOBILE DIVX5_HOME_THEATER DIVX5_HD_1080P

17.1.2016 20:00 Ovocníček
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Jo, rozsekaný ovladače GPU jsou IMHO mnohem pravděpodobnější zdroj problémů (holt, cokoli, co jde kolem HW), kdežto při dekódování v ffmpegu přes software je prakticky jistota, že to bude v pořádku, pokud není binárka nějak špatně zkompilovaná. Servery FATE by měly hned detekovat, že se nějakým commitem změnil výstup a dekodér je rozbitý. Periodicky se to kontroluje.
17.1.2016 08:46 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Odpovědět | Sbalit | Link | Blokovat | Admin
Pripomína mi to chyby MS implementácie ASF z minulého tisícročia. Dúfam že sa ffmpeg neinšpiroval tak starými peniazmi.
17.1.2016 20:13 Ovocníček
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Pokud vím, tak je to funkce kontejnéru mov/mp4, který podporuje něco jako jsou linked segments v matrosce (známe jakožto "ordered chapters" u anime), ale místo sgid umožňuje na ně odkazovat přímo cestou k souboru.

Jinak samozřejmě není dobrej nápad umožnit toto ve spojení se sítí :(
17.1.2016 12:47 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Odpovědět | Sbalit | Link | Blokovat | Admin
file:// klasická chyba :-D
Intel meltdown a = arr[x[0]&1]; karma | 帮帮我,我被锁在中国房
17.1.2016 15:27 karry
Rozbalit Rozbalit vše Re: Chyby ve FFmpeg umožňují vzdálené čtení souborů
Odpovědět | Sbalit | Link | Blokovat | Admin
Netušíte jak je na tom libav? Trpí těmito chybami také?

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.