RTMPDump librtmp远程代码执行漏洞

admin

0
文章

0
评论

2023-12-02 16:20:30 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 RTMPDump librtmp远程代码执行漏洞

CVE编号

CVE-2015-8271

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-04-14

漏洞描述

RTMPDump是一个用来处理RTMP（用于互联网上传输视音频数据的网络协议）的工具包。librtmp是其中的一个支持RTMP协议的库。 RTMPDump 2.4版本的librtmp 1.0版本中的amf.c文件中的‘AMF3CD_AddProp’函数存在安全漏洞，该漏洞源于程序未能正确定义AMF3类成员的数量。远程攻击者利用该漏洞向复制到特定地址（以0结尾）的指针中写入数据，执行任意代码。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：https://rtmpdump.mplayerhq.hu/

参考链接
http://www.debian.org/security/2017/dsa-3850
http://www.securityfocus.com/bid/95125
http://www.talosintelligence.com/reports/TALOS-2016-0067/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	rtmpdump_project	rtmpdump	2.4	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 2.4+20151223.gitfa8646d.1-1
	运行在以下环境
	系统	debian_10	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d.1-1
	运行在以下环境
	系统	debian_11	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d.1-1
	运行在以下环境
	系统	debian_12	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d.1-1
	运行在以下环境
	系统	debian_7	rtmpdump	*		Up to (excluding) 2.4+20111222.git4e06e21-1+deb7u1
	运行在以下环境
	系统	debian_8	rtmpdump	*		Up to (excluding) 2.4+20150115.gita107cef-1+deb8u1
	运行在以下环境
	系统	debian_sid	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d.1-1
	运行在以下环境
	系统	ubuntu_14.04	rtmpdump	*		Up to (excluding) 2.4+20121230.gitdf6c518-1ubuntu0.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	rtmpdump	*		Up to (excluding) 2.4+20121230.gitdf6c518-1ubuntu0.1
	运行在以下环境
	系统	ubuntu_16.04	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d-1ubuntu0.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d-1ubuntu0.1