亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

在流行的Live Networks LIVE555的流媒體RTSPServer中發(fā)現(xiàn)了一個(gè)關(guān)鍵的遠(yuǎn)程代碼執(zhí)行錯(cuò)誤。?據(jù)思科Talos研究人員稱，該漏洞可能允許攻擊者向易受攻擊的系統(tǒng)發(fā)送特制數(shù)據(jù)包，并觸發(fā)基于堆棧的緩沖區(qū)溢出。?最初對(duì)該漏洞的關(guān)注（CVE-2018-4013）讓流行的VLC開源媒體播放器和MPLayer視頻播放器的客戶端用戶爭(zhēng)先恐后地更新他們的軟件。但是，正如思科Talos指出的那樣，受影響的LIVE555媒體庫?只影響流媒體服務(wù)器軟件，而不影響使用它的播放器。

VLC和MPLayer客戶端?客戶端不受漏洞影響

LIVE555是由Live Networks創(chuàng)建的流媒體服務(wù)器軟件中使用的一組C ++庫，支持通過協(xié)議RTP / RTCP，實(shí)時(shí)流協(xié)議（RTSP）和SIP進(jìn)行流式傳輸。?有時(shí)在客戶端版本的播放器中使用底層技術(shù)。

然而，思科Talos情報(bào)集團(tuán)的研究員?解釋說，

LIVE555媒體庫“被VLC和MPlayer等流行媒體播放器以及眾多嵌入式設(shè)備（主要是相機(jī)）使用，“客戶端使用LIVE555庫不容易受到攻擊。

為了減輕對(duì)該bug影響的擔(dān)憂，Live Networks?公開表示該漏洞

“不會(huì)影響VLC或MPlayer，因?yàn)樗鼈儍H使用LIVE555來實(shí)現(xiàn)RTSP。該錯(cuò)誤僅影響我們實(shí)施的RTSP。?（VLC確實(shí)有一個(gè)嵌入式RTSP服務(wù)器，但它使用單獨(dú)的實(shí)現(xiàn)，而不是LIVE555）。“

漏洞出現(xiàn)在HTTP中的RTSP函數(shù)

該漏洞存在于LIVE555為其標(biāo)準(zhǔn)RTSP服務(wù)器啟用的功能之一：通過HTTP隧道傳輸RTSP的能力。

由服務(wù)器綁定的不同端口提供服務(wù)，通常為TCP 80,8000或8080，具體取決于主機(jī)上可用的端口，?這個(gè)端口可以支持普通的RTSP，但在某些情況下，HTTP客戶端可以協(xié)商RTSP-over-HTTP隧道。?這個(gè)漏洞出現(xiàn)在解析HTTP報(bào)頭通過HTTP隧道傳輸RTSP的函數(shù)中：

“攻擊者可能會(huì)創(chuàng)建一個(gè)包含多個(gè)’Accept：’或’x-sessioncookie’字符串的數(shù)據(jù)包，這可能導(dǎo)致函數(shù)’lookForHeader中的堆棧緩沖區(qū)溢出，?更具體地說，該漏洞包含在Live Networks LIVE555媒體服務(wù)器（版本0.92）或更早期版本的產(chǎn)品中”

受影響的版本

• Live Networks LIVE555 Media Server Version 0.92

解決方案

LIVE555 Streaming Media已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞，受影響的用戶請(qǐng)盡快升級(jí)進(jìn)行防護(hù)。

詳情請(qǐng)參考：

http://www.live555.com/liveMedia/

源碼以及changelog請(qǐng)參考：

http://www.live555.com/liveMedia/public/

原文鏈接：https://threatpost.com/critical-bug-impacts-live555-media-streaming-libraries/138477/?utm_source=dlvr.it&utm_medium=twitter