LIVE 555流媒体爆严重RCE漏洞CVE-2018-4013 官方已发布更新补丁
在流行的Live Networks LIVE555的流媒体RTSPServer中发现了一个关键的远程代码执行错误。 据思科Talos研究人员称,该漏洞可能允许攻击者向易受攻击的系统发送特制数据包,并触发基于堆栈的缓冲区溢出。 最初对该漏洞的关注(CVE-2018-4013)让流行的VLC开源媒体播放器和MPLayer视频播放器的客户端用户争先恐后地更新他们的软件。但是,正如思科Talos指出的那样,受影响的LIVE555媒体库 只影响流媒体服务器软件,而不影响使用它的播放器。
VLC和MPLayer客户端 客户端不受漏洞影响
LIVE555是由Live Networks创建的流媒体服务器软件中使用的一组C ++库,支持通过协议RTP / RTCP,实时流协议(RTSP)和SIP进行流式传输。 有时在客户端版本的播放器中使用底层技术。
然而,思科Talos情报集团的研究员 解释说,
LIVE555媒体库“被VLC和MPlayer等流行媒体播放器以及众多嵌入式设备(主要是相机)使用,“客户端使用LIVE555库不容易受到攻击。
为了减轻对该bug影响的担忧,Live Networks 公开表示该漏洞
“不会影响VLC或MPlayer,因为它们仅使用LIVE555来实现RTSP。该错误仅影响我们实施的RTSP。 (VLC确实有一个嵌入式RTSP服务器,但它使用单独的实现,而不是LIVE555)。“
漏洞出现在HTTP中的RTSP函数
该漏洞存在于LIVE555为其标准RTSP服务器启用的功能之一:通过HTTP隧道传输RTSP的能力。
由服务器绑定的不同端口提供服务,通常为TCP 80,8000或8080,具体取决于主机上可用的端口, 这个端口可以支持普通的RTSP,但在某些情况下,HTTP客户端可以协商RTSP-over-HTTP隧道。 这个漏洞出现在解析HTTP报头通过HTTP隧道传输RTSP的函数中:
“攻击者可能会创建一个包含多个’Accept:’或’x-sessioncookie’字符串的数据包,这可能导致函数’lookForHeader中的堆栈缓冲区溢出, 更具体地说,该漏洞包含在Live Networks LIVE555媒体服务器(版本0.92)或更早期版本的产品中”
受影响的版本
- Live Networks LIVE555 Media Server Version 0.92
解决方案
LIVE555 Streaming Media已经发布补丁修复了上述漏洞,受影响的用户请尽快升级进行防护。
详情请参考:
http://www.live555.com/liveMedia/
源码以及changelog请参考:
http://www.live555.com/liveMedia/public/
原文链接:https://threatpost.com/critical-bug-impacts-live555-media-streaming-libraries/138477/?utm_source=dlvr.it&utm_medium=twitter
相关文章
- 4条评论
- 美咩嘟醉2022-06-07 10:13:29
- itical-bug-impacts-live555-media-streaming-libraries/138477/?utm_source=dlvr.it&utm_medium=twitter
- 蓝殇尢婠2022-06-07 15:16:18
- (主要是相机)使用,“客户端使用LIVE555库不容易受到攻击。为了减轻对该bug影响的担忧,Live Networks 公开表示该漏洞“不会影响VLC或MPlayer,因为它们仅使用LIVE555来实现RTSP。该
- 青迟漠望2022-06-07 20:25:53
- Networks LIVE555媒体服务器(版本0.92)或更早期版本的产品中”受影响的版本Live Networks LIVE555 Media Server Version 0.92解决方案LIVE555 Streaming Media已经发布补丁修复了
- 绿邪纯乏2022-06-07 13:02:02
- 施的RTSP。 (VLC确实有一个嵌入式RTSP服务器,但它使用单独的实现,而不是LIVE555)。“漏洞出现在HTTP中的RTSP函数该漏洞存在于LIVE555为其标准RTSP服务器启用的功能之一:通过HTTP隧道传输RTSP的能力。由服务器绑定的不同端口提供服务,通常为