266 meneos
1491 clics
Hilo de VideoLAN en Twitter: "VLC no es vulnerable" [ENG]
Hilo de Twitter en el que desde VideoLAN comentan por qué VLC no es vulnerable ahora mismo. Comentan: "Sobre el problema de seguridad en VLC: VLC no es vulnerable. El problema está en una biblioteca de terceros, llamada libebml, que se solucionó hace más de 16 meses. VLC desde la versión 3.0.3 tiene la versión correcta empaquetada, y @MITREcorp ni siquiera verificó su afirmación."
|
comentarios cerrados
¿Esto hace a VLC vulnerable? Sí. No en la versión actual, pero sí. No es un zero-day, pero es una vulnerabilidad.
"which was fixed more than 16 months ago" "VLC since version 3.0.3 has the correct version shipped"
¿O es que me estoy perdiendo algo?
Algo que se ha arreglado hace más de 16 meses no me parece que sea motivo para alzar los brazos y correr en círculos.
Un simple: se corrigió importando una versión actualizada de la librería hace 18 meses, creo que sería mejor
Lo que VLC viene a desmentir es que las ultimas versiones de VLC sean vulnerables como indican ciertos medios o sitios como el MITRE.
Pero te pongo el siguiente caso práctico. Imagina que VLC ofrece recompensas por encontrar bugs. Una persona encuentra que VLC está usando una librería vulnerable. El bug es usar esa versión vulnerable, empaquetandola de forma estática. ¿Debe VLC dar la recompensa?
(Es simple diálogo)
Si es un mal uso de la biblioteca es tu responsabilidad, si es en tu código es tu responsabilidad, si es un bug de una biblioteca externa que usas... para mi lo mas que puedes hacer es informar al investigador (que debería haber visto que era en esa biblioteca) para que que lo reporte a ellos ademas de tu mismo reportarlo e indicar la fuente original (este investigador).
En este caso en concreto el bug ya estaba solucionado a partir de cierta versión y VLC ya usaba esa versión (no se el detalle de si era por conocimiento de este bug o simplemente por mantenerlo actualizado), sin embargo Ubuntu 18.04 sigue compilando con esta vulnerable, aquí la responsabilidad es de Canonical por estar usando piezas de software con vulnerabilidades.
Pero volviendo a tu caso, suponiendo que es una nueva vulnerabilidad desconocida de una biblioteca... ¿deben todos los softwares que la usan dar una recompensa a esa persona o solo al software que le han enviado la notificación? Para mi es upstream quien tiene que encargarse, el de la biblioteca. De buena fe podría darse un reconocimiento o una recompensa menor.
www.neowin.net/news/german-cybersecurity-agency-identifies-critical-fl
VLC no es vulnerable, la vulnerabilidad
vienevino dada por una librería de terceros que usa VLC. Por tanto, lo siento pero esa libreríahacehizo vulnerable a VLC.La librería de terceros hizo vulnerable a VLC pero no pasa nada porque hace ~1 año que está parcheada y las actuales versiones de esa librería no son vulnerables, así que estamos a salvo.
Entonces ¿de donde viene el problema? ¿todo es mentira? Pues no, leamos todo el hilo:
The reporter is using Ubuntu 18.04, which is an old version of Ubuntu, and clearly has not all the updated libraries.
El problema viene de que el autor encontró una vulnerabilidad porque usa Ubuntu 18.04, una versión "vieja" de Ubuntu cuya librería no fue actualizada, por tanto VLC en Ubuntu 18.04 que no tiene la librería actualizada sí es vulnerable.
¿Ubuntu 18.04 no tiene la librería actualizada porque el autor no la actualizó o porque Ubuntu 18.04 ya no actualiza esa librería dado que ese ubuntu es una versión vieja?
Porque si es lo primero, el descubridor del bug metió la pata pero si es lo segundo, tenemos un problema. Ubuntu 18.04 por mucho que le llamen viejo no tiene ni dos años y es una versión LTS que todavía está en soporte, así que VLC por culpa de esa librería sí sería vulnerable por mucho que existan versiones más actuales de Ubuntu.
Windows 10 tiene más vida que dos años, windows 7 mucha más y en ellos VLC viene con su propia librería actualizada y no es vulnerable, a pesar de que windows 7 tiene diez años ya.
Ubuntu 18.04 tiene la versión 1.3.5, cuando la versión corregida es la 1.3.6
Salu2
#11 Igual me he enterado y no me parece como para bramar por ello. Pero ya veo que en menéame solo valen las posiciones extremas.
#13 Yo no soy de "mi perro se ha comido los deberes". Lo significativo de la vulnerabilidad de la librería no es la librería en sí, sino la difusión que tiene.
#14 No es ponerse quisquillosos, pero es lo que es. Vulnerabilidades del Kernel de Linux no hay muchas, del paquete completo en sus diferentes distros hay más en sus paquetes. Se usa un todo. Una vulnerabilidad en OpenPGP o OpenSSH no es importante por el paquete en sí, sino por la difusión que tiene.
#15 En eso estoy de acuerdo
De todas formas mi distribución Linux de cabecera sigue siendo Slackware (más bien SalixOS ahora mismo); a ver si puedo hacerles una pequeña donación a final de verano, porque lo que es admirable es que con tan poca gente, la primera distribución con kernel Linux (1993) siga en activo!!
Por cierto, VLC es una de las mejores, sino la mejor, elecciones para ver casi cualquier tipo de vídeo
He mirado el listado de cambios de libebml en Mint18 (Ubuntu 16 todavía con soporte) y el 24 ha recibido una actualización de seguridad, ¿alguien puede contrastar el CVE?
libebml (1.3.3-1ubuntu0.1) xenial-security; urgency=medium
* SECURITY UPDATE: heap-based out of bounds read
- debian/patches/CVE-2019-13615-1.patch: check the max size to read
before actually reading in src/EbmlElement.cpp.
- debian/patches/CVE-2019-13615-2.patch: do not output an element with
size Unknown if it's not allowed in src/EbmlElement.cpp.
- debian/patches/CVE-2019-13615-3.patch: exit the max size loop when
there's nothing left possible to find in src/EbmlElement.cpp.
- debian/patches/CVE-2019-13615-4.patch: rework the way we look at the
end boundary when looking an element in a parent in
src/EbmlElement.cpp.
- CVE-2019-13615
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Wed, 24 Jul 2019 14:03:37 -0400
Uso una distro con tres años y recibo actualizaciones. De hecho, hay un soporte extendido premium que lo ampliaba hasta 10 años, el cual leí que ahora lo implementarían de serie todas las LTS (versiones extendidas)
www.locurainformaticadigital.com/2018/11/20/ubuntu-18-04-lts-extendio-
wiki.ubuntu.com/Releases
Tampoco puedes comparar un producto por el que has pagado un dinero considerable y del que además tmb se subvenciona con lo que te espía o apps que te cuela, como XBOX store, siendo además complicado de quitar. Todo esto contra un producto libre, gratuito y más respetuoso con tu privacidad.
Con Ubuntu además, cuando llegues al fin de soporte puedes actualizar fácilmente sin que aprovechen a meterte tanta mierda como en los Windows ni que tengas que volver a pasar por caja: maslinux.es/como-actualizar-ubuntu-con-un-solo-comando/
Lo que pasa que por alguna razón Ubuntu no debe haber actualizado esa Librería, pero a veces, aunque no actualicen a la última versión, les suelen aplicar parches de seguridad, es lo bueno del software open source. No creo que tarden en corregirlo, y será un tirón de orejas para Ubuntu, que seguro no saldrán con la típica frase de Microsoft, de It's not a bug, it's a feature, pues por ejemplo Microsoft Office tiene fallos que están y estarán por años...
El único problema de Linux es que todo el mundo sabe trastear mínimamente en Windows, por que han crecido con ello y todos el soporte de fabricantes y desarrolladores va hacia Windows, esto hace que Windows al final sea un producto fácil y Linux mucho más complicado para un usuario raso. Pero de todas todas lo considero un mejor producto, auinque no apto para todos pero sí para muchos más que antes.
unaaldia.hispasec.com/2019/07/vlc-no-es-vulnerable-y-no-tienes-que-des