RTMPDump 2.4 RTMP Media amf.c AMF3ReadString 拒绝服务漏洞

admin

0
文章

0
评论

2023-12-02 16:20:31 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 RTMPDump 2.4 RTMP Media amf.c AMF3ReadString 拒绝服务漏洞

CVE编号

CVE-2015-8270

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-04-14

漏洞描述

RTMPDump是一个用来处理RTMP（用于互联网上传输视音频数据的网络协议）的工具包。librtmp是其中的一个支持RTMP协议的库。 RTMPDump 2.4版本的librtmp 1.0版本中的amf.c文件中的‘AMF3ReadString’函数存在安全漏洞，该漏洞源于程序未能为AMF3类的‘memberName’字符串分配属性。允许攻击者利用该漏洞造成拒绝服务（空指针逆向引用）。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页： https://rtmpdump.mplayerhq.hu/

参考链接
http://www.debian.org/security/2017/dsa-3850
http://www.securityfocus.com/bid/95126
http://www.talosintelligence.com/reports/TALOS-2016-0066/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	rtmpdump_project	rtmpdump	2.4	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 2.4+20151223.gitfa8646d.1-1
	运行在以下环境
	系统	debian_10	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d.1-1
	运行在以下环境
	系统	debian_11	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d.1-1
	运行在以下环境
	系统	debian_12	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d.1-1
	运行在以下环境
	系统	debian_7	rtmpdump	*		Up to (excluding) 2.4+20111222.git4e06e21-1+deb7u1
	运行在以下环境
	系统	debian_8	rtmpdump	*		Up to (excluding) 2.4+20150115.gita107cef-1+deb8u1
	运行在以下环境
	系统	debian_sid	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d.1-1
	运行在以下环境
	系统	ubuntu_14.04	rtmpdump	*		Up to (excluding) 2.4+20121230.gitdf6c518-1ubuntu0.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	rtmpdump	*		Up to (excluding) 2.4+20121230.gitdf6c518-1ubuntu0.1
	运行在以下环境
	系统	ubuntu_16.04	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d-1ubuntu0.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	rtmpdump	*		Up to (excluding) 2.4+20151223.gitfa8646d-1ubuntu0.1