Debians sikkerhedsbulletin

DSA-4203-1 vlc -- sikkerhedsopdatering

Rapporteret den:
17. maj 2018
Berørte pakker:
vlc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-17670.
Yderligere oplysninger:

Hans Jerry Illikainen opdagede en typekonverteringssårbarhed i MP4-demuxer'en hørende til medieafspilleren VLC, hvilken kunne medføre udførelse af vilkårlig kode, hvis en misdannet mediefil blev afspillet.

Denne opdatering opgraderer VLC i stretch til den nye 3.x-udgivelsesserie (fordi sikkerhedsrettelser ikke kunne tilbageføres på fornuftig vis til 2.x-serien). Desuden var det nødvendigt at genopbygge to pakker, for at sikre kompabilitet med VLC 3; phonon-backend-vlc (0.9.0-2+deb9u1) og goldencheetah (4.0.0~DEV1607-2+deb9u1).

VLC i jessie kan ikke overgå til version 3 på grund af inkompatible biblioteksændringer med omvendte afhængigheder, og programmets levetid erklæres derfor for afsluttet i jessie. Vi anbefaler at opgradere til stretch, eller at vælge en anden medieafspiller, hvis det ikke er en mulighed.

I den stabile distribution (stretch), er dette problem rettet i version 3.0.2-0+deb9u1.

Vi anbefaler at du opgraderer dine vlc-pakker.

For detaljeret sikkerhedsstatus vedrørende vlc, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/vlc