Рекомендация Debian по безопасности

DSA-4203-1 vlc -- обновление безопасности

Дата сообщения:
17.05.2018
Затронутые пакеты:
vlc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-17670.
Более подробная информация:

Ханс Джерри Илликаинен обнаружил уязвимость при преобразовании типов в демультиплексере MP4 из состава медиапроигрывателя VLC, которая может приводить к выполнению произвольного кода в случае проигрывания специально сформированного файла.

Данное обновление переводит VLC в stretch на новую серию выпусков 3.x (поскольку исправления безопасности не могут быть корректно перенесены в версии серии 2.x). Кроме того, необходимо выполнить повторную сборку двух пакетов с целью обеспечения их совместимости с VLC 3; phonon-backend-vlc (0.9.0-2+deb9u1) и goldencheetah (4.0.0~DEV1607-2+deb9u1).

VLC в jessie нельзя перевести на версию 3 в связи с несовместимыми изменениями библиотеки с обратными зависимостями, поэтому жизненный цикл данного ПО в jessie считается завершённым. Рекомендуется выполнить обновление до stretch, либо выбрать другой медиапроигрыватель, если обновление вам не подходит.

В стабильном выпуске (stretch) эта проблема была исправлена в version 3.0.2-0+deb9u1.

Рекомендуется обновить пакеты vlc.

С подробным статусом поддержки безопасности vlc можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/vlc