Угроза безопасности Ubuntu из-за пакета VLC 3.0.4 по умолчанию?

Это последний совет по безопасности от VLC

Совет по безопасности 1901

Резюме: чтение переполнения буфера & amp; double free Дата
: июнь 2019 г. Затронутые версии: VLC media player 3.0.6 и более ранние версии ID: VideoLAN-SA-1901 Ссылка CVE: CVE-2019-5439, CVE-2019-12874

Подробно

Удаленный пользователь может создать некоторые специально созданные файлы avi или mkv, которые при загрузке целевым пользователем вызовут переполнение буфера динамической памяти (чтение) в ReadFrame (demux / avi / avi.c) или двойное освобождение в zlib_decompress_extra () (demux / mkv / utils.cpp) соответственно Impact

В случае успеха злонамеренная третья сторона может инициировать либо сбой VLC, либо выполнение произвольного кода с привилегиями целевого пользователя , Уменьшение угрозы

Для использования этих проблем пользователю необходимо явно открыть специально созданный файл или поток.

ASLR и DEP помогают уменьшить воздействие, но могут быть обойдены. Обходные пути

Пользователь должен воздерживаться от открытия файлов от ненадежных третьих сторон или доступа к ненадежным удаленным сайтам (или отключить плагины браузера VLC), пока не будет применено исправление. Решение

VLC media player 3.0.7 решает проблему.

По их словам, установка VLC media player 3.0.7 решит проблему.

Однако в Ubuntu доступна старая версия 3.0.4

user@linux:~$ apt show vlc
Package: vlc
Version: 3.0.4-1ubuntu0.2
Priority: optional
Section: universe/graphics
Origin: Ubuntu

Разве это не считается высоким риском для безопасности?

2
задан 26 June 2019 в 08:40

1 ответ

Чтобы установить пакет vlc snap версии 3.0.7 во всех поддерживаемых в настоящее время версиях Ubuntu, откройте терминал и введите:

sudo snap install vlc  

VLC - медиаплеер проекта VideoLAN. Полностью с открытым исходным кодом и конфиденциальность, он воспроизводит все мультимедийные файлы и потоки. Пакет vlc snap будет автоматически обновляться в фоновом режиме, когда будут доступны обновления.

В экосистеме Linux есть несколько способов отказаться от угроз безопасности, подобных этому. Если обновленный пакет моментальных снимков недоступен, иногда можно установить обновленную версию этого пакета в виртуальной среде, например, с python3-kivy, в котором ошибка 18.04, с использованием этого обходного пути . Другой возможной безопасной альтернативой является поиск обновленного пакета flatpak того же приложения и установка пакета flatpak в вашем собственном домашнем каталоге от имени обычного пользователя без прав root. Наконец, вы можете посетить Linux App Store , который представляет собой приложение для обнаружения программного обеспечения Linux, которое предоставляет подробную информацию о пакетах snap, flatpak и appimage в удобном для пользователя макете программного центра.

3
ответ дан 26 June 2019 в 08:40

Другие вопросы по тегам:

Похожие вопросы: