Un nuevo fallo de seguridad crítico afecta al popular reproductor multimedia VLC, con una puntuación alta, la vulnerabilidad ha sido categorizada como crítica, y aunque se está trabajando en una solución de momento no hay parches disponibles.
|
etiquetas: vlc , vulnerabilidad , critica
Platform(s): GNU/Linux
Windows: Not reproducible in 3.0.6 win64, 3.0.7.1 win64 or nightly 4.0.0-20190723-0832 win64 either.
comment:10 Changed 6 horas ago by Jean-Baptiste Kempf
No hay sistema perfecto, a ver si todo el mundo se da cuenta y vamos todos a una.
Y si, todo tiene fallos, ningún sistema, ningún software es infalible.
Lo que no acabo de entender es la obligación de desinstalar en vez de no ejecutar.
Tampoco se han registrado casos donde se haya usado la vulnerabilidad.
No lo veo tan grave, y veo sensacionalista la redacción de la noticia la verdad.
Recuerdo que Linux se enojó por eso
A ver si dejamos el rollo este de "A mi no me afecta, uso linux" que siempre sale en cada meneo sobre un bug en windows, que luego lo repites con linux y siempre sale un excusándose como tú. Parece que te haya ofendido.
"A remote, anonymous attacker can exploit the vulnerability in VLC to execute arbitrary code, cause a denial-of-service condition, exfiltrate information, or manipulate files," as noted by ESET.
The vulnerability is known to exist in the latest version of VLC on Windows, Linux, and Unix machines, but it is possible the bug is also present in past builds.
www.zdnet.com/article/remote-code-execution-vulnerability-in-vlc-remai
Windows, Linux, and Unix versions of VLC are all affected (but not the macOS version)
gizmodo.com/you-might-want-to-uninstall-vlc-immediately-1836641101
No me has ofendido. Disculpa el tono si he dado esa impresión.
Pero, ¿no crees que me estás acusando de lo mismo que has hecho en tu primer comentario, cambiando "linux" por "Windows"?
En cuanto a "No lo veo tan grave, y veo sensacionalista la redacción de la noticia la verdad. "
La noticia está siendo fiel a lo que dicen los desarrolladores de VLC, que algo del tema supongo que saben.
No sé tú
www.cert-bund.de/advisoryshort/CB-K19-0634
título: VLC: la vulnerabilidad permite eludir las restricciones de seguridad
fecha: 07/24/2019
software: VLC de código abierto 3.0.7.1
plataforma: Linux, UNIX, Windows
Por supuesto todos los VLC de linux linkados en dinámico contra versiones vulnerable de la librería igualmente son vulnerables.
twitter.com/videolan/status/1153963312981389312
fossbytes.com/vlc-media-player-has-critical-security-flaw-uninstall-no
Los binarios oficiales anteriores a 3.0.3 con la librería en estático tienen ese problema.
Todos los binarios con libebml <1.3.6 en estático/dinámico están afectados, independientemente de la plataforma.
Windows: Not reproducible in 3.0.6 win64, 3.0.7.1 win64 or nightly 4.0.0-20190723-0832 win64 either.
---------
Tested on windows 10, 3.0.7.1 win64 official release:
does not crash on single playback
confirmed memory leak on loop one, but no crash (except until out of memory).
P.D: ¿Qué sabrán los desarrolladores? a ellos ni caso, mejor hagámos caso a los periodistas.
Versiones anteriores de VLC a 3.0.3 para windows tienen esa vulnerabilidad porque incluyen la librería con el problema.
Por supuesto que no se reproduce en el VLC 3.0.6 oficial para windows porque la librería incluida esta parcheada.
Algunas distribuciones de Linux han actualizado VLC pero NO la librería libebml.
Si usted se descarga download.videolan.org/pub/videolan/vlc/3.0.2/win64/vlc-3.0.2-win64.exe tendrá el mismo problema descrito en el CVE.
Los desarrolladores también meten la pata, no creas.
Cómo será la cosa que en el mismo enlace que enviabas, Jean-Baptiste Kempf abroncaba al creador del hilo...
Changed 3 horas ago by Jean-Baptiste Kempf
Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago...
Changed 3 horas ago by Jean-Baptiste Kempf
Note: if you report a security issue, at least update your linux distribution.
Algunas distribuciones actuales de Linux han actualizado VLC pero NO la librería libebml, entonces sí son vulnerables, las actuales, no las del pleistoceno como pretendes en windows.
#37 Lo mismo de arriba y añado que son varias las personas que están confirmando que en windows la versión actual, no esa del pleistoceno, no está afectada, sin embargo en linux sí. Los desarrolladores meterán la pata pero estamos hablando de algo que se está estudiando y revisando por varias personas, si hubiesen metido la pata ya se habrían dado cuenta y rectificado.
El motivo técnico es tan obvio que ni hace falta explicarlo.
Si instalaste VLC en Windows antes del 29/05/2018(anterior a 3.0.3) y no lo has actualizado eres vulnerable.
Si tu distribución de Linux tiene vlc enlazado contra una versión anterior a libebml 1.3.6 eres vulnerables (ubuntu 18.04 es vulnerable actualmente pero no en 19.04).
Si en Linux utilizas la versión oficial actual de VLC www.videolan.org/vlc/#download no estas afectado.
Si instalaste VLC en Windows antes del 29/05/2018 y lo abres, si tienes internet, te saltará la actualización y actualizarás a la nueva versión, ergo, en windows no eres vulnerable.
Si tienes una distribución de linux en el que VLC está afectado, cuya librería no tiene actualización disponible, abrirás VLC, ejecutarás sudo apt-get update/upgrade, le pondrás una vela a Santa Rita y otra a Santo Tomás y no te saldrá nada porque nada hay, ergo, en linux eres vulnerable.
Por eso en windows el problema ya está resuelto, llega conque actualices, mientras que en linux no está resuelto y tienen una incidencia abierta.
P.D: no, no llega con instalar la versión actual de Linux descargada de videoland.org
La actualización del VLC en windows es "manual", si le dices actualizar te abre el navegador a la pagina de descargas y usted debe proceder manualmente con una nueva instalación.
La actualización en el caso de Ubuntu 18.04 es la siguiente en terminal:
sudo apt remove vlc
sudo add-apt-repository ppa:videolan/stable-daily
sudo apt update
sudo apt install vlc
Como alternativa (recomendada por VLC) puede hacerlo vía snap con www.videolan.org/vlc/download-ubuntu.html mas sencillo que en Windows.
La solución del problema es idéntica en Windows y Linux.
Pero aunque fuera como tú dices ¿te parece más cómodo escribir todo eso que hacer clic clic clic?
Aún así, la cuestión no está en lo fácil que sea descargarse la actualización sino en enterarte de que existe tal actualización. En windows, aunque fuese manual, te avisa cuando abres VLC y te enteras y se descarga la actualización con la librería correcta. En linux, por contra, ni siquiera es problema de actualizar el VLC sino de que se actualice la librería independiente pero que usa VLC, así que puedes tener el VLC perfectamente actualizado que si tu linux no actualizó la librería, eres vulnerable.
Para instalar por ejemplo vlc puede empezar por www.videolan.org/vlc/download-ubuntu.html
Click sobre "Snap Store", abrir enlace y luego en la aplicación "Software" click en instalar. Por ultimo pones la contraseña y ya.
Esa instalación NO utiliza las librerías del sistemas puesto que es igual de ineficiente que Windows, cada aplicación coloca sus librerías independientemente. Este método es el recomendado por VLC y no es vulnerable desde que salio la versión 3.0.3, igual que windows.
El proceso de instalación es similar con la excepción de que si en Windows no tiene contraseña solo saldrá el UAC cuando le da a "ejecutar" el enlace.
Las actualizaciones de snap se notifican estilo android, en un "push" de la barra y se centralizan con la aplicación software.
Así que gracias por explicarme lo obvio pero no lleva usted razón.
El exploit afectaba de la misma manera a Windows y a Linux, tanto en ámbito como en tiempo: librería de terceros que se linkaba al compilar. Punto.
La noticia era errónea, VLC lo desmintió y posteriormente los autores del artículo han publicado una actualización, rectificando lo más dignamente que han podido.
El desarrollador que tanto ponías como ejemplo también se dio cuenta de que el exploit no era reproducible en ninguna versión actualizada de VLC, independientemente de su S.O. y cerró el hilo no sin antes afear a quien reportó la vulnerabilidad que no contase con una distribución de Ubuntu actualizada.
Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago...
...
Note: if you report a security issue, at least update your linux distribution.
Lo periodistas rectifican la noticia, los de VLC sacan explican el error y los desarrolladores ratifican/respaldan a los de VLC, no sé qué más hace falta para convencerte te has columpiado despotricando contra Linux, en base a una noticia errónea.
Yo, por mi parte, doy por zanjado el tema.
En linux, segun como lo instales y en que distribucion, VLC puede usar su version de libreria parcheada o de libreria compartida que si la distribucion no la tiene actualizada, eres vulnerable, por eso linux es vulnerable y por eso tienes pruebas de como las ultimas versiones de VLC sufrian el problema.
Lo que tu pegas en negrita te esta diciendo que VLC empaquetado, completo, con su propia libreria esta a salvo, pero te olvidas del otro caso, del que tira de librerias del sistema, por tanto estas equivocado otra vez.
Zanjado queda.