尊敬的用户：

您好！视频处理组件FFmpeg被曝出存在任意文件读取漏洞，目前漏洞利用程序已经在外部公开，黑客可以通过上传恶意制作的视频读取服务器上的敏感文件。

为避免您的业务受影响，我们建议您及时开展自查，并尽快推动内部视频相关业务排查和FFmpeg升级更新，详细参见如下指引说明：

【漏洞概述】

该漏洞系HLS播放列表的缺陷导致本地信息泄露，被攻击者利用可通过上传恶意制作的视频来读取服务器的任意文件，如/etc/passwd等；

【风险等级】

高风险

【漏洞影响】

黑客可以通过上传恶意制作的视频，读取服务器上的敏感文件；

【影响版本】

FFmpeg 3.3 系列：<3.3.2

FFmpeg 3.2 系列：<3.2.6

FFmpeg 3.1 系列：<3.1.9

FFmpeg 3.0 系列：全部

FFmpeg 2.8 系列：<2.8.12；

【安全版本】

FFmpeg 3.3.2 was released on 2017-06-07

FFmpeg 3.2.6 was released on 2017-06-18

FFmpeg 3.1.9 was released on 2017-06-22

FFmpeg 2.8.12 was released on 2017-06-06；

【修复建议】

升级FFmpeg到上述【安全版本】，官方地址：https://ffmpeg.org/download.html

请业务升级过程中注意测试兼容性；

【相关参考】

1）https://hackerone.com/reports/242831

2）https://hackerone.com/reports/226756