EDICIóN GENERAL
266 meneos
1490 clics
Hilo de VideoLAN en Twitter: "VLC no es vulnerable" [ENG]

Hilo de VideoLAN en Twitter: "VLC no es vulnerable" [ENG]

Hilo de Twitter en el que desde VideoLAN comentan por qué VLC no es vulnerable ahora mismo. Comentan: "Sobre el problema de seguridad en VLC: VLC no es vulnerable. El problema está en una biblioteca de terceros, llamada libebml, que se solucionó hace más de 16 meses. VLC desde la versión 3.0.3 tiene la versión correcta empaquetada, y @MITREcorp ni siquiera verificó su afirmación."

| etiquetas: videolan , vlc , seguridad , libebml
#5 #8 Pssss, psssss... un secreto: prácticamente todo el software ha sido vulnerable en algún punto de su existencia. Si no actualizas es a lo que te arriesgas, igual que si no instalas las actualizaciones de Windows o no actualizas los paquetes de las distribuciones de linux o absolutamente cualquier cosa.

Algo que se ha arreglado hace más de 16 meses no me parece que sea motivo para alzar los brazos y correr en círculos.
#10 claro, pero la excusa de yo no he tenido vulnerabilidades, lo ha tenido otra librería (que uso), me parece mala.

Un simple: se corrigió importando una versión actualizada de la librería hace 18 meses, creo que sería mejor
#3 #8 #12 Todo software existente es vulnerable ya que en alguna de sus versiones ha tenido un bug, o ha usado una biblioteca que tenía un bug si nos ponemos quisquillosos.

Lo que VLC viene a desmentir es que las ultimas versiones de VLC sean vulnerables como indican ciertos medios o sitios como el MITRE.
#10 ¿Quién ha hablado de correr en círculos? Ya he dicho en #5 que me parece un disparate dejar de usar VLC por ello.

#11 Igual me he enterado y no me parece como para bramar por ello. Pero ya veo que en menéame solo valen las posiciones extremas.

#13 Yo no soy de "mi perro se ha comido los deberes". Lo significativo de la vulnerabilidad de la librería no es la librería en sí, sino la difusión que tiene.

#14 No es ponerse quisquillosos, pero es lo que es. Vulnerabilidades del…   » ver todo el comentario
#3 #8 #12 Otro detalle que se me ha olvidado mencionar, el CVE lo han abierto sobre VLC pero eso es incorrecto, el CVE debería ser sobre la biblioteca y si acaso listar softwares afectados al usarla.
#15 coincido en que en un mundo categórico es así.

Pero te pongo el siguiente caso práctico. Imagina que VLC ofrece recompensas por encontrar bugs. Una persona encuentra que VLC está usando una librería vulnerable. El bug es usar esa versión vulnerable, empaquetandola de forma estática. ¿Debe VLC dar la recompensa?

(Es simple diálogo)
#16 Es un tema dificil, y creo que la mayoría de los bug bounty te lo denegarían o te daría una recompensa menor.

Si es un mal uso de la biblioteca es tu responsabilidad, si es en tu código es tu responsabilidad, si es un bug de una biblioteca externa que usas... para mi lo mas que puedes hacer es informar al investigador (que debería haber visto que era en esa biblioteca) para que que lo reporte a ellos ademas de tu mismo reportarlo e indicar la fuente original (este investigador).

En este…   » ver todo el comentario
#16 Ya, pero es que la versión con la biblioteca enlazada estáticamente usaba la versión parcheada, por lo que esa no era vulnerable. Las que lo eran eran las versiones incluidas en distribuciones de Linux con enlace dinámico a una versión de la biblioteca vulnerable.
#12 A mi no me parece ninguna excusa, han dicho lo que hay: el código de VLC no es vulnerable, la librería sí lo era. No tiene ningún sentido abrirles un bug a ellos y de lo que se están quejando es de las formas y de la violación de las propias políticas de la compañía que les abrió el reporte de la vulnerabilidad.
#8 Pero la noticia que están desmintiendo decía, que VLC tenía una vulnerabilidad ahora. De hecho decía algo asi como si tienes instalado VLC y lo usas, tu ordenador está en riesgo... Pues no.

De hecho todos los programas son vulnerables en algún momento, si se actualizan con parches de seguridad es por algo.
#5 ¿Y de verdad te lo has leído? Directamente en el primer tuit:

"which was fixed more than 16 months ago" "VLC since version 3.0.3 has the correct version shipped"

¿O es que me estoy perdiendo algo?
#7 vamos, que se demuestra que VLC era vulnerable por transitividad (por empaquetar una librería vulnerable) hasta la versión 3.0.3
#3 Si te pones así es mejor directamente que no uses ningún aparato electrónico porque casi todo el software es vulnerable aunque sea en versiones obsoletas de librerías de terceros.
#4 Yo no he dicho tal disparate de dejar de usar. Me has dicho que lea, y mi conclusión es que han usado una librería que es vulnerable, y cuando esa vulnerabilidad se encuentra en un software ampliamente distribuido se convierte en un vector de ataque bastante jugoso para quien quiere hacer daño.
#5 Solo me queda claro que no te has enterado.
A ver si nos aclaramos y leemos todo el hilo:

VLC no es vulnerable, la vulnerabilidad viene vino dada por una librería de terceros que usa VLC. Por tanto, lo siento pero esa librería hace hizo vulnerable a VLC.

La librería de terceros hizo vulnerable a VLC pero no pasa nada porque hace ~1 año que está parcheada y las actuales versiones de esa librería no son vulnerables, así que estamos a salvo.

Entonces ¿de donde viene el problema? ¿todo es mentira? Pues no, leamos…   » ver todo el comentario
#28 Entonces, desde mi ignorancia, los que tienen ubuntu 18.04 o SO basados en ese sistema ¿tienen que quitar vlc de sus ordenadores?
#28 #29 En cualquier caso lo que nunca nadie debería usar es Ubuntu, es una pésima distribución en todos los sentidos.
#36 Mientras se siga desarrollando y actualizando LMDE, yo seguiré tirando de los repositorios de Debian. Incluso la distribución Linux Mint que tira de los repositorios de Ubuntu está mejor pergeñada.
De todas formas mi distribución Linux de cabecera sigue siendo Slackware (más bien SalixOS ahora mismo); a ver si puedo hacerles una pequeña donación a final de verano, porque lo que es admirable es que con tan poca gente, la primera distribución con kernel Linux (1993) siga en activo!!

Por cierto, VLC es una de las mejores, sino la mejor, elecciones para ver casi cualquier tipo de vídeo :-)
#29 Para nada. Con no abrir vídeos con VLC es suficiente y dudo que tarden mucho los de Ubuntu en actualizarlo. Además, en mi caso uso un derivado de Ubuntu y por defecto utiliza otro reproductor de vídeo.

He mirado el listado de cambios de libebml en Mint18 (Ubuntu 16 todavía con soporte) y el 24 ha recibido una actualización de seguridad, ¿alguien puede contrastar el CVE?


libebml (1.3.3-1ubuntu0.1) xenial-security; urgency=medium

* SECURITY UPDATE: heap-based out of bounds read
-…   » ver todo el comentario
#31 En Ubuntu 16.04 tengo la 1.3.3 y veo que hace dos días recibió un parche de seguridad para CVE-2019-13615. Lo he pegado en #40 (En realidad uso Mint 18.3 que está basado en Ubuntu 16.04)
#28 Sam Morris añadió que la versión de la biblioteca incluida en Ubuntu 18.04 es la 1.3.5-2, y Morgan Collet contesta que Ubuntu suele aplicar parches sin cambiar la versión del paquete (de ahí ese "-2") y que podría ser que ya está parcheado.
#33 De todas formas, es una suposicion de ese twittero. Para salir de dudas habría que buscar el changelog de Ubuntu para ese paquete para ver si esa subversión corrigió el fallo
#28 Para los que querais saber los SO que tienen una versión vulnerable de esta librería, podéis comprobarlo en el siguiente enlace: repology.org/project/libebml/versions

Ubuntu 18.04 tiene la versión 1.3.5, cuando la versión corregida es la 1.3.6
#28 [...] Windows 10 tiene más vida que dos años, windows 7 mucha más y en ellos VLC viene con su propia librería actualizada y no es vulnerable, a pesar de que windows 7 tiene diez años ya. [...]

Uso una distro con tres años y recibo actualizaciones. De hecho, hay un soporte extendido premium que lo ampliaba hasta 10 años, el cual leí que ahora lo implementarían de serie todas las LTS (versiones extendidas)…   » ver todo el comentario
Suena a FUD en toda regla...
#22 Tienes razón, fueron muchos: Gizmodo, Genbeta, AndroidPIT y un larguisimo etc...
Si los proyectos opensource demandaran a periodistas por difamación las cosas serían muy distintas, ya que dudo mucho que los periodistas corrijan titulares.
#21 No fue un periodista, fue la agencia de seguridad alemana CERT-Bund.:
www.neowin.net/news/german-cybersecurity-agency-identifies-critical-fl
Pues se debería dar un toque de atención a los "medios de comunicación" que todavía tienen artículos en plan ¡Desinstalad VLC, insensatos!
#25 Díselo a todos los medios del tipo Weblogs SL y compañía (Xataka, Genbeta, Gizmodo ...) que corrieron en tromba a dar la supuesta noticia mal traducida y peor redactada.
Es un exploit imposible de explotar por ahora, básicamente es eso. Y por tanto es como si no existiese. Pero claro, lo mejor es corregirlo igualmente.

Salu2
Éste es el cono que todos queremos!!
Vamos a hacer un super push de VideoLan, se lo merece.
#3 tú solo usas librerías que no han sido vulnerables nunca y solo comes cosas que no hacen sombra
#1 Lee el hilo completo. Porque tiene tela la prensa de hoy en día. No verifican nada.
#2 ¿Qué tengo que leer? VLC se apoya en librerías que en versiones previas han tenido fallos de seguridad.

¿Esto hace a VLC vulnerable? Sí. No en la versión actual, pero sí. No es un zero-day, pero es una vulnerabilidad.
#2 prensa?
#2 prensa a twitter :shit:
comentarios cerrados

menéame