LINUX.ORG.RU

История изменений

Исправление Psych218, (текущая версия) :

Стоп, а как злоумышленник получит содержимое файла-то? По сети отправится? То есть, там, выходит, выполнение произвольного кода? Зачем тогда так ветиевато писать, и так понятно, чем это может грозить (и не только этим). Решето, конечно, эпическое…

upd:

Перешёл по ссылке, стало понятно. Нет, не произвольный код. Но уязвимость всё равно эпичная.

В качестве мер защиты предлагается запускать ffmpeg в изолированном окружении, либо ограничить ему доступ к сети.

Можно просто пересобрать ffmpeg без поддержки HLS (HTTP Live Streaming). Уязвимость реализуется через него.

Исправление Psych218, :

Стоп, а как злоумышленник получит содержимое файла-то? По сети отправится? То есть, там, выходит, выполнение произвольного кода? Зачем тогда так ветиевато писать, и так понятно, чем это может грозить (и не только этим). Решето, конечно, эпическое…

Перешёл по ссылке, стало понятно. Нет, не произвольный код. Но уязвимость всё равно эпичная.

Исходная версия Psych218, :

Стоп, а как злоумышленник получит содержимое файла-то? По сети отправится? То есть, там, выходит, выполнение произвольного кода? Зачем тогда так ветиевато писать, и так понятно, чем это может грозить (и не только этим). Решето, конечно, эпическое…