Säkerhetsbulletin från Debian

DSA-4203-1 vlc -- säkerhetsuppdatering

Rapporterat den:
2018-05-17
Berörda paket:
vlc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-17670.
Ytterligare information:

Hans Jerry Illikainen upptäckte en typkonverteringssårbarhet i MP4-demuxern i mediaspelaren VLC, vilket kunde resultera i exekvering av godtycklig kod om en felaktigt formatterad mediafil spelas.

Denna uppdatering uppgraderar VLC i Stretch till den nya utgåveserien 3.x (eftersom säkerhetsrättningar inte kunde bakåtanpassas på ett vettigt sätt till 2.x-serien). Utöver detta behövde två paket byggas om för att säkerställa kompatibilitet med VLC 3; phonon-backend-vlc (0.9.0-2+deb9u1) och goldencheetah (4.0.0~DEV1607-2+deb9u1).

VLC i Jessie kan inte migreras till version 3 på grund av inkompatibla biblioteksändringar med omvända beroenden och vi deklarerar därmed att support för VLC upphör för Jessie. Vi rekommenderar att du uppgraderar till Stretch eller väljer en annan mediaspelare om detta inte är ett alternativ.

För den stabila utgåvan (Stretch) har detta problem rättats i version 3.0.2-0+deb9u1.

Vi rekommenderar att ni uppgraderar era vlc-paket.

För detaljerad säkerhetsstatus om vlc vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/vlc