Doch keine Schwachstelle CVE-2019-13615 im VLC-Player?

SicherheitVerunsicherung bezüglich der Remote Code Execution-Schwachstelle CVE-2019-13615 im VLC-Player. Es soll ein Patch in der Mache sein, aber das VideoLAN-Projekt gibt an, dass man die berichtete Schwachstelle nicht nachvollziehen könne. Ich habe das Thema im Blog-Beitrag BSI warnt vor Schwachstelle im VLC-Player bis V3.0.7.1 nachgetragen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Doch keine Schwachstelle CVE-2019-13615 im VLC-Player?

  1. Ralf Lindemann sagt:

    Ist wohl doch keine Schwachstelle. Es gibt einen aktuellen Post von Jean-Baptiste Kempf in der Sache. Das Problem scheint behoben bzw. aufgeklärt:

    „Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago… "

    Quelle: https://trac.videolan.org/vlc/ticket/22474 (comment:21)

    • AUTSCH!
      Kempf will sich (wie bei ihm üblich) aus seiner Verantwortung bzw. SCHLAMPEREI herausreden: VLC hat versäumt, die Abhängigkeit zu libebml mit "Version >= 1.3.6" zu deklarieren!

      Wer Software von Drittanbietern nutzt importiert auch deren Schwachstellen; sobald dort Fehler bekannt bzw. behoben werden MUSS er reagieren: entweder auf eine korrigierte Version umsteigen oder auf die Nutzung dieser Software verzichten.

      • spaetstueggspause sagt:

        1. Der Umstieg/Fix ist doch längst erfolgt!
        2. es geht in erster Linie um die kreischende Darstellung in den Medien. Die nicht mal rückgefragt oder iwas überprüft, dafür abgeschrieben haben.
        Sehe nicht wo ein kempf sich da noch weiter erklären muss. Das gegebene ist mehr als hinreichend.
        + das "wie bei ihm üblich" ist eig. überflüssig.

        • AUTSCH: wie unschön, dass Du von Software Engineering KEINE Ahnung hat!
          Der Umstieg/Fix ist im Quellcode NICHT erfolgt: die Abhängigkeit zu libebml wurde NICHT mit "Version >= 1.3.6" deklariert, WEDER in den Definitionsdateien für die üblichen Paketmanager (RPM, APT, …), NOCH im Dateinamen des Shared Objects libebml[.version].so
          VLC hat den Fix nur in den von ihnen selbst (für gaaaanz wemige Systeme) gebauten BINÄR-Dateien vorgenommen; diese werden dummerweise von Distributionen wie Ubuntu, Debian, RedHat/Fedora etc. NICHT in deren Repositories übernommen, sondern dort aus den UNGEFIXTEN Quellen zusammengefrickelt.
          Fazit: VLC hat mal wieder geschlampt!

          • Dekre sagt:

            Maaaahhhnn Stefan.
            Wir haben alle keine Ahnung. Hätten wir Ahnung, so würden wir nicht Günters Blog anschauen.
            Wer ist denn nun betroffen?

            Mach doch einfach eine Software die allen hilft, so mal ein Betriebssystem. Oder ein Programm was jedermann anwenden kann und einfach ist und einen begleitet. Mir fällt jetzt gerade kein Programm ein, weil ich so viele nun auch nicht nutze.
            Schlage was vor – wir werden dann auch Programmvorschäge machen und dann kann abgestimmt werden.

          • Dekre sagt:

            Ergänzung zum fachlichen:

            https://www.bleepingcomputer.com/news/security/keep-calm-carry-on-vlc-not-affected-by-critical-vulnerability/

            Ansonsten eben immer ruhig bleiben.
            Natürlich haben wir alle keine Ahnung, woher auch. Wir sind aber darauf stolz!

          • labs2fine sagt:

            dafür darfst DU Raechtschraibunck lernen. Ahnungslooser Humorloskauz! aua aua aua (tuts eig weh zwi den Ohren?).
            Ab ins killfile!

            btt:
            Artikel. der das Thema am besten trifft bei golem, kein rumschwadronieren (wie das Wesen K. zB.), dafür auf denPunkt:
            https://www.golem.de/news/videolan-eine-vlc-luecke-die-keine-ist-1907-142758.html

            • Günter Born sagt:

              Bitte niemanden wegen Rechtschreibung o.ä. angreifen. Wer Betroffene mit Lese-/Rechtschreibschwäche in der Familie hat, weiß, was ich meine. Der Link zu Golem ist ok. Danke für das Verständnis.

          • drallibanan sagt:

            jo, der Artikel von golem.de ist eine Wohltat, eine der wenigen. Auch zum Bleistift im Vergleich zu heise, die gestern ebenfalls mehr lavieren, als – wenn auch nachträglich – deutlich zu werden (= zu früh und kein Test). Bekommt halt nicht jeder hin…

          • Dekre sagt:

            @labs2fine
            Muß man darauf antworten? Wohl kaum.
            Aber man sollte unterscheiden zwischen Tippfehler und den anderen. Nach neuer Rechtschreibung kann man schreiben wie man will. Man kann auch es nicht akzeptieren. Es passieren viele Fehler beim tippen. Es ist nur die Frage ob man bei einer kurzen Notiz das für erforderlich achtet. Man könnte "muß" auch "muss" schreiben. Ist wohl nach neuerer Rechtschreibung so. Im Duden steht die Wortverbindung "diametral entgegengesetzt". Das eher wohl für Leute die keine Ahnung haben. Es steht auch "Quantensprung" im Duden und wird tagtäglich verwendet. Es ist aber das genau nicht gemeint. Diese Leute haben keine Ahnung von Quantenmechanik.

  2. Günter Born sagt:

    @drallibanan: Ich schreib jetzt nicht 'Dummfug' – aber lies dir den Artikel von heise einfach nochmals in Ruhe Satz für Satz durch. Ich unterschreibe das, was die Kollegen von heise da auf das Tablett gebracht haben.

    Sätze von Golem der Art 'Die Mühe, den Fehler zu verifizieren und nachzustellen, haben sich aber offenbar weder die Behörden noch die vielen Medien gemacht, die inzwischen über den Fehler im VLC-Player berichtet haben." kategorisiere ich schlicht als scheinheilig!

    Warum: Ich blogge hier ja über diverse Sicherheitsaspekte – bei 80 bis 90 % der Themen lässt sich so etwas aus diversen Gründen nicht verifizieren – u.a. weil man keine Rückmeldungen bekommt oder schlicht nicht die benötigten Informationen offen gelegt werden. Wird über einen Ransomware-Befall berichtet, muss ich das glauben. Ich kann berichten, es weglassen – oder anfragen, wenn ein Unternehmen genannt wird (und bekomme i.d.R. keine Antwort).

    Die Theorie: Ich berichte nicht, weil ich es nicht verifizieren konnte. Und der Nachbar schaut dumm aus der Wäsche, weil er nichts darüber lesen konnte. Wie cool ist das denn?
    Wenn ich dann die Kollegen von Golem beim Wort nehme, wären die Seiten von Golem, heise, borncity & Co. verdammt leer – denn jeder Artikel müsste ja nach obigem Pathos selbst geprüft werden. Nur wenn Hanno Böck mal wieder eine Sicherheitslücke gefunden hat, wäre ein Artikel bei Golem envogue (Hanno schreibt ja für die) – und als Leser darf ich dann nicht glauben, was da steht – denn ich habe es nicht geprüft!

    Und mal Hand auf's Herz, was die vielen Schlaumeier, die sich jetzt zu Wort melden, alle nicht auf dem Radar haben: Nix ist so alt, wie die News von gestern. Ich kann es sehr gut sehen, kommt eine Nachricht ein paar Tage zu spät (aus welchen Gründen auch immer), wird das Zeugs nicht mehr gelesen. Da sich die Redaktionen aber über Werbung, die nach Abrufzahlen vergütet wird, finanzieren, gibt es nur zwei Optionen 'In Ehre untergehen oder mal was raushauen, selbst unter dem Aspekt, dass man sich korrigieren muss'.

    Ich bin bei euch, dass es wünschenswert gewesen sei, dass dieses spezielle Thema gleich von Anfang an im richtigen Kontext dargestellt worden sei. War aber nicht – und als jemand, der seit über 28 Jahren 'vorne in der Bütt steht und das Publikum bespaßt', kann ich inzwischen damit umgehen, dass mal was verunglückt.

    Nix für ungut.

    PS: Noch eines – ob Golem die Meldung durch einen Test selbst verifiziert hat? EASA ist ja auch eine Behörde und man kann ja niemandem mehr trauen.

Schreibe einen Kommentar zu spaetstueggspause Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.