В медиапроигрывателе VLC выявлена (https://www.welivesecurity.com/2019/07/22/critical-vulnerabi.../) уязвимость (CVE-2019-13615 (https://security-tracker.debian.org/tracker/CVE-2019-13615)), которая может привести к выполнению кода злоумышленника при воспроизведении специально оформленного видео в формате MP4 (прототип эксплоита (https://bugzilla.novell.com/attachment.cgi?id=810713)). Проблема вызвана переполнением кучи в коде распаковки медиаконтейнера MKV и проявляется в актуальном выпуске 3.0.7.1.
Исправление пока недоступно (https://trac.videolan.org/vlc/ticket/22474), как и обновления пакетов (Debian (https://security-tracker.debian.org/tracker/CVE-2019-13615), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-13615), Fedora (https://bodhi.fedoraproject.org/updates/?releases=30&type=se...), SUSE (https://bugzilla.novell.com/attachment.cgi?id=810713), FreeBSD (http://www.vuxml.org/freebsd/)). Уязвимости присвоен (https://nvd.nist.gov/vuln/detail/CVE-2019-13615) критический уровень опасности (9.8 из 10 CVSS).URL: https://www.welivesecurity.com/2019/07/22/critical-vulnerabi.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=51161
Гениально!
> Гениально!Смотришь гхнуху, а эта гхнуха, в это время, гхнгхнгхн твой компьютер, и если у неё получится то и тебя лично.
Это же новый уровень погружения и взаимодействия!
Да всю жизнь это было на порносайтах. Это типичный уровень боянистости 20 летней давности.
> Да всю жизнь это было на порносайтах. Это типичный уровень боянистости 20
> летней давности.Так причём тут порносайт?
Сайт это делает через скрипты и браузер, это понятно.
А тут достаточно просто запустить видео-файл в vlc, а источником может быть хоть лицензионный диск купленный в магазине.
Тема не нова. Уже несколько раз проходили
И часто тебе приходится вводить номер карточки для просмотра фильмов?
Уже со всех сторон пенетрируют
Да он сам по себе одна большая уязвимость. 15 лет прошло, а как прошил MKV'хи в квадраты в рандомных местах, так и продолжает с$ка крошить! Чтож такое то.
Сейчас УМВРщики набегут
Может, ядрышек ему подбросить, в смысле жрать больше одного разрешить?
Так 4х-ядерный core i7. Тот же SMP ничего не крашит даже с одним ядром. Но интерфейс VLC мне нравится больше, так что раз в год по традиции ставлю новую версию и... те же квадратики.
> Так 4х-ядерный core i7. Тот же SMP ничего не крашит даже с одним ядром.Так у MP, если совсем "на пальцах" (и в меру своей некомпетентности в вопросе), вывод иначе построен и тормозить там относительно нечему.
2 thresh: можешь пояснить насчёт разницы с постпроцессингом? Я помню, что когда-то (может, даже до vlc 2.0) у вас это было больное место; вот суть разницы с mplayer и то, были ли изменения по ней -- начисто не помню или вовсе не знаю. Ну или ссылку дать на одно из предыдущего миллиона объяснений :)
Тут хоть подбрасывай, хоть набрасывай — толку не будет.
Это уже давно мемом стало https://derpicdn.net/img/2016/9/23/1255944/medium.png
Это fake news, уязвимости в релизах нет - только memory leak: https://trac.videolan.org/vlc/ticket/22474
Забавное обсуждение. Такое ощущение, будто разрабы вообще не понимают, о чём идёт речь.
Такое бывает, когда о проблеме (несуществующей) разработчикам не сообщают, а сразу идут в CVE-трекеры.Не надо так делать.
Я уж успел было подумать -- не объявлен ли средник дырок...
Обычная некомпетентность "security" "researcher"'ов, мы с ней постоянно сталкиваемся.Вот тут разьяснения: https://twitter.com/videolan/status/1153963312981389312?s=09
Во всём виновата libebml? Почему же её в трассировке не видно?
Н-да, дополнение теперь изложено деликатно, но всё равно достаточно прозрачно.Собственно, почему предпочитаю обходить всякие askubuntu и тем более тамошние форумы в поисковой выдаче -- релевантность сильно ниже среднего, двадцать страниц бестолочей-митушников и хорошо если хоть кто-то на второй трети чё-то знал...
https://trac.videolan.org/vlc/ticket/22474#comment:12> Replying to Jean-Baptiste Kempf:
> > Once again, security contact is here: https://www.videolan.org/security/
> ok.... I try email to security@…, but nobody response.So I post it on there.
> https://trac.videolan.org/vlc/ticket/22474#comment:12
среди разрабов VLC есть очень забавные и неадекватные типы. знаю по собственному опыту, когда 2 месяца доказывал им, что мой патч на 10 строчек решает проблему отображения VLC-шкой RTSP-потока, созданного точно такой же VLC-шкой.
Я заметил, что они очень высокого мнения о своей компетенции, но при этом недооценённые бизнесом (плохо трудоустроенные). Отсюда я заключил причину заносчивости.
Весь айти в одной фразе.
Все уверены в своей компетентности - гомо сапиенс существо уныло примитивное )
Есть mplayer/mpv + морды. VLC - для чего?
Есть кошерный MPC-QT даже под оффтопик, что ещё может быть нужно https://codecpack.co/download/mpc-qt.html
> Есть кошерный MPC-QT даже под оффтопик, что ещё может быть нужно https://codecpack.co/download/mpc-qt.htmlВы, батенька, как-то уж совсем в оффтоп уехали :).
> Вы, батенька, как-то уж совсем в оффтоп уехали :).Офтопик в квадратике? :)
> Офтопик в квадратике? :)Экхм... надо у автора писания полюбопытствовать :D.
Not Found
влц - хорошая утилита для отладки, то что некторые в ней ещё и кино смотрят - просто удивительно :)
Да очень просто: делаю дабл-клик на файл, а затем жму 'F' на клавиатуре. Разницы с другими проигрывателями не нашел, только настроек больше в случае чего.
Ах да, еще можно стримы твича/youtube-ссылки открывть.Может у вас ОС какая сложная, в которой приходится мучиться при выполнении простейших действий.
> Может у вас ОС какая сложная, в которой приходится мучиться при выполнении
> простейших действий.А оно уже перестало распиливать анимехи в MKV на квадратики?
Сначала вы перестаньте школоло-релизы со всяких помоек качать.
> Сначала вы перестаньте школоло-релизы со всяких помоек качать.Подкиньте плз примеры непомоек. И почему-то то, что скачано, совершенно спокойно жрёт smplayer, хоть через mpv, хоть через mplayer.
Сделанные узкоглазыми порномультики не нужны.
> Сделанные узкоглазыми порномультики не нужны.Гы, ещё один баклан на шаблон сагрился :D.
Някающие унтepменши тоже не нужны, не напрягайся.
> Ах да, еще можно стримы твича/youtube-ссылки открывть.Я только так и смотрю ютуп последние годы, но через мпв.
когда мупэвэ (уже подзаброшенный) научится в блурай меню (да хотяб в двд обратно научится) тогда и поговорим.
сам mpv юзаю но это полуфабрикат (как и mplayer), умеющий во всё (зачем-то - because we can) но зато оставляющий желать лучшего во многих областях весьма критичных для медиаплеера... разрабы mpv увы полностью придерживались линии mplayer с курсом на илитность и суровость.
> когда мупэвэ (уже подзаброшенный) научится в блурай меню (да хотяб в двд
> обратно научится) тогда и поговорим.Скажите, а зачем вам меню? Я вот просто не знаю, что там такого может быть, что нужно больше, чем сам фильм?
"Скажите, а зачем вам меню?"
Для того, чтобы выбирать что-то посложнее одного фильма. Допы, клипы, серии.
Есть колбаса "Любительская". Сервелат - зачем?
VLC для того, что просто работает сразу. Другие не смогли _так_ написать свои программы.
Как связаны .mp4 и .mkv?..
MPEG — это в том числе кодеки. Mkv — контейнер. Данные, закодированные MPEG, можно положить в контейнер mkv. Так понятно?
Да, анон, спасибо. А новость поправили уже (:
> MPEG — это в том числе кодеки.Речь в новости изначально была о MP4. Это — контейнер (MPEG-4 Part 14).
> в формате MP4
> медиаконтейнера MKVОпределитесь уже, что там за контейнер. В первоисточниках ни буквы про MP4 нет.
Дык только патч добавили что бы и в MP4 был :D
И а почему у меня в "18.04" вещь сия уже несколько релизов подряд как не обновляется (по-прежнему он у меня там "3.04" (а в винде по-моему в первую очередь обновляется)).
И как эта уязвимость может зависеть и от того, из под какой ОС VLC сей работает? (И а антивирусы могут ее заделывать?)
Потому Ubuntu LTS — это дистрибутив с заморозкой.
Выпустили замороженную базу. Обновлять будут только, если есть секурные бреши (есть исключения).
> Выпустили замороженную базу. Обновлять будут только, если есть секурные бреши (есть исключения).ну вот - есть. Причем как говорят разработчики vlc - годичной давности.
И чо?ведь модный-современный стиль кодоляпания не предполагает поддержки стабильных версий самими авторами, разработчики дистрибутива должны сами отслеживать миллионы проектов и их проблем с библиотеками пятисотого уровня косвенности.
Которые еще и не спешат сообщать об исправлениях, даже если автор знает что это уязвимость (вполне может и нет).
> ну вот - есть. Причем как говорят разработчики vlc - годичной давности. И чо?Ну вот и обновили "виновную" библиотеку libebml, как бомбануло. А пока не бомбануло, значит сиди с дыркой.
Такова специфика стейбл дистрибутивов - ты можешь как и выиграть, так и проиграть.
Пока все остальные страдают от новых внесённых изменений, у тебя более старое и проверенное.
А может наоборот - ты сидишь с древней ошибкой, которая в новой версии починена.> Которые еще и не спешат сообщать об исправлениях
Это да. Есть зачастую секурные обновления не помечаются особо.
Как будто бы это специфика только LTS. Был момент, что вышел VLC с поддержкой Хромкаста, но версия с ней попала только в следующую версию Убунты, а обновляться на нее ой как не хотелось так как там (по началу) жутко глючили дрова на видеокарту, а поставить более низкую версию дров мешал dependence-hell. В результате либо сиди на старойбез хромкаста либо терпи зависания на новой. Третий вариант тоже так себе - новый VLC в виде снапа\флатпака.
В Ubuntu да. А в Debian 9 VLC обновили с 2 до 3 линейки. Не энтерпрайзненько.
Потому, что Ubuntu LTS это "стабильный" дистрибутив, в котором софт протухает еще похлеще, чем в регулярно пинаемом за это Дебиане
Дебиан - хорошо. Убунту - плохо.
> Потому, что Ubuntu LTS это "стабильный" дистрибутив, в котором софт протухает еще похлещеМожно примеры?
К сожалению можно. nginx тому примером. В репах 1.14.0. Понятно, что официально команда nginx советует использовать их репу и никто из родной nginx в здравом уме не ставит, но вот пример. Хочу заметить, что я сам при этом использую Ubuntu LTS на серверах с 6.06, то есть уже 13 лет. Но некоторые проблемы с несвежестью софта это не отменяет.
Отлично. А теперь пример как в Debian с этим лучше.
А это не ко мне, я — другой анон. Я просто привел пример с тем, что в Убунту бывает старый софт и не обновляется даже внутри ветки. На самом деле на обоих дистрах правильный выход это юзать репу предлагаемую разработчиками nginx
> К сожалению можно. nginx тому примером. В репах 1.14.0.а вы ведь так любите обмазаться свеженьким?
> Но некоторые проблемы с несвежестью софта это не отменяет.
засохший навоз недостаточно ароматен, да?
P.S. использую nginx 1.7.10, что я делаю не так? Ровно после того, как недостаточно подсохшая версия начала давать segfault'ы - и причина их так и осталась невыясненной. Нужных мне изменений в проекте с тех пор, увы, не было.
Тебе какбэ намекают открой для себя мир снап пакетов.
открыл тут недавно. и сразу закрыл. обычное гномошапкоцентричное поделие.надо было тут одну софтину поставить - так у неё в зависимостях видать прописан ВЕСЬГНОМСОВСЕМБАРАХЛОМ. И начинает качать этот "базовый" гнум на ТЫСЯЧИ файлов. Прибиваю всё это. Качаю с pkgs.org билд нужной софтины для арча - вуаля - не хватает ОДНОЙ либы.
вот и сказочке конец.
Ты пьяно и бредишь. snap вообще не имеет отношения к RH. И никакого гнома он не качает.
snap info vlc
name: vlc
summary: The ultimate media player
publisher: VideoLAN✓
contact: https://www.videolan.org/support/
license: GPL-2.0+
description: |
VLC is the VideoLAN project's media player.
Completely open source and privacy-friendly, it plays every multimedia file and streams.
It notably plays MKV, MP4, MPEG, MPEG-2, MPEG-4, DivX, MOV, WMV, QuickTime, WebM, FLAC, MP3,
Ogg/Vorbis files, BluRays, DVDs, VCDs, podcasts, and multimedia streams from various network
sources. It supports subtitles, closed captions and is translated in numerous languages.
snap-id: RT9mcUhVsRYrDLG8qnvGiy26NKvv6Qkd
channels:
stable: 3.0.7 2019-06-07 (1049) 212MB -
candidate: 3.0.7 2019-06-07 (1049) 212MB -
beta: 3.0.7.1-1-54-g72ab735 2019-07-24 (1125) 212MB -
edge: 4.0.0-dev-8833-g787a20665a 2019-07-24 (1124) 318MB -3.0.7 в stable, 3.0.7.1 в бете, 4.0.0-dev в edge. Куда свежей???
"Посмотрите, что вошло в дверь!" :D
Астрологи объявили неделю уязвимостей?
Нт. Кждй ндл сй йст.
Впервые узнал о существовании консонантного письма? Бывает. Сидя в своём политехе ты многое столь же интересное пропустил.
VLC хорош чтобы там всякие mplayer/mpv шники не говорили.
Используй VLC говорили они.
> VLC хорош чтобы там всякие mplayer/mpv шники не говорили.Ага, до сих бы им пользовался, если бы картинка не сыпалась и не лагала на слабых процах. А в остальном хорош.
Иногда на планшете с атомом юзаю, не лагает чёто. Куда уж слабее в 2019м году? У тебя чё, пентиум-1?
Есть у меня старенький нетбук 2013 года, на атоме. Под виндой тормзов нет, потому, что видео проигрывается через видеокарту, а вот под Linux для этой карты нет драйверов, поэтому видео обрабатывает проц. И уже 720р подлагивает в Youtube и VLC, а вот smplayer проигрывает без заметных подергиваний.
Ну постпроцессинг у него такой...
Он малоюзабелен.
Это больше инструмент для отладки чем плеер.
А mpv это чисто плеер и ничего больше.
VLC у меня взлетел только на планшете по юзабилити, на десктопе я им пользоватся категорически не могу - не удобно в нём смотреть.
И периодически проблемы с аппаратным ускорением.
Настроки mpv через конфиг файл на порядок понятнее и удобнее чем то что в vlc через гуй.
> (прототип эксплоита)Скачал
Запустил
Ничего не произошло
???
Теперь ты часть ботнета.
одним больше, другим меньше
Интересно, к приложению для Android это относится?
Придётся менять текст новости. Это уязвимость не в VLC, а утечка в старой(!) версии libebml. Версия 1.3.6 появилась в Debian 22 апреля прошлого года.
https://trac.videolan.org/vlc/ticket/22474#comment:21
> Придётся менять текст новости. Это уязвимость не в VLC, а утечка в
> старой(!) версии libebml. Версия 1.3.6 появилась в Debian 22 апреля прошлого
> года.
> https://trac.videolan.org/vlc/ticket/22474#comment:21Не только в дебиане.
https://svnweb.freebsd.org/ports?view=revision&revision=468042
> Sun Apr 22 18:11:18 2018 UTC (15 months ago)
> libebml
> Update to upstream version 1.3.6https://svnweb.freebsd.org/ports?view=revision&revision=468044
> Sun Apr 22 18:14:24 2018 UTC (15 months ago)
> VLC
> Bump PORTREVISION for ports depending on libmatroskaВидимо, кто-то из "ресершерав" перебрал перебродившего на солнце смузи. Бывает.
Видимо это бунта о*****. Ибо софт у них систематически тухлый в репах. То файрфокс тухлый с уязвимостями, а теперь это.
Ну Ubuntu 19.04 это не касается, а вот Ubuntu 18.04 LTS - да.
Debian Stretch тоже уязвим, а новый Debian Bullseye (вон только вышел) не имеет уязвимости.
Занятно. Кто-то тут про SNAP говорил, что это опасно, что типа библиотеки в SNAP пакете будут протухшие с дырками.Вот обратный пример. Уязвимость не касается ни Windows, ни macOS (ибо уже давным давно обновленная либа), а только VLC с традиционных около линуксовых реп.
Секурность.
Именно в snap для VLC я использую по максимуму библиотеки не из дистрибутива.
> уязвимость устранена в выпуске libebml 1.3.6)Смеха ради запустил "эксплоит" в vlc с libebml 1.3.6 под валгриндом. Получил пачку ошибок про перекрывание источника и получателя в memcpy. И то же самое на любом другом MKV. Блин, придётся же теперь на мастере проверять, чтобы зарепортить…
А плееры в телевизорах тоже libebml используют?
В Кубунте 1904 запускается только из командной строки. Из меню или на файле помаячит в панели несколько секунд и завершается. "Они говорили: Ставь Линэкс. В нём свобода и выбор". :)
https://radikal.ru/video/T5qRWEwwhcH