VLC هنوز مشکل داره ؟

[S Y N C R E X]

https://www.zoomit.ir/2019/7/24/338449/uninstall-vlc-immediately/

حالا امروز روی KDE Neon برای VLC آپدیت جدید اومد ٬ میخاستم مطمعن بشم که مشکلش برطرف شده یا نه ؟

[رسول سعیدنژاد]

مشکل از کتابخونهٔ libebml بوده. اگه این کتابخونه آپدیت شده، پس حله دیگه.
خودم چندسالی هست که استفاده نمی‌کنم. mplayer سرراست‌تره.


به‌روز‌رسانی:
طبق گفتهٔ سایت NVD:

libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement

حالا مخازن اوبونتو 19.04 چی می‌گه؟:

کد: [انتخاب]

libebml (1.3.6-2) unstable; urgency=medium

  * Team upload.
  * debian/libebml-dev.install: Install cmake config files required by
    libmatroska.

 -- Sebastian Ramacher <sramacher@debian.org>  Sun, 22 Apr 2018 10:35:57 +0200

آخرین آپدیت این کتابخونه واس 19.04 هنوز مال 22/04/2018 هست!
ولی؟

توی مخازن 19.10:

کد: [انتخاب]

libebml (1.3.9-2) unstable; urgency=medium

  * Team upload.
  * Upload to unstable.

 -- Sebastian Ramacher <sramacher@debian.org>  Sun, 07 Jul 2019 12:10:59 +0200

هفتم جولای آپدیت شده که احتمالاً مربوط می‌شه به رفع باگ که در صورت موفقیت آمیز بودن تستش (چون همیشه روی نسخه‌های آلفا و بتا تست می‌کنن بعد واسه نسخه‌های پایدار منتشر می‌کنن) برای 19.04 هم منتشر می‌کنن.

[S Y N C R E X]

درود بر شما .

[علی رزم دیده]

https://www.zoomit.ir/2019/7/24/338449/uninstall-vlc-immediately/

حالا امروز روی KDE Neon برای VLC آپدیت جدید اومد ٬ میخاستم مطمعن بشم که مشکلش برطرف شده یا نه ؟

با سلام
وضعیت آسیب‌پذیری CVE-2019-13615 توی نسخه‌های مختلف اوبونتو به این صورت هست‌ :

کد: [انتخاب]

Ubuntu 16.04 LTS (Xenial Xerus): released (1.3.3-1ubuntu0.1)
Ubuntu 18.04 LTS (Bionic Beaver): released (1.3.5-2ubuntu0.1)
Ubuntu 19.04 (Disco Dingo): not-affected (1.3.6-2)
Ubuntu 19.10 (Eoan): not-affected (1.3.9-2)
در واقع تو نسخه‌ی 1.3.6 و بالاتر libebml این آسیب‌پذیری وجود نداره و چون Ubuntu 19.04 و 19.10 بالاتر از این نسخه هستن، تحت تاثیر این آسیب‌پذیری قرار نمی‌گیرن و نیاز به آپدیت خاصی هم ندارن و برای نسخه‌های 16.04 و 18.04 هم به‌روزرسانی منتشر شده و کافیه سیستم رو به‌روز کنین.

حالا در مورد سوال شما؛‌ با توجه به اینکه ساختار اصلی مخازن KDE neon رو مخازن آخرین نسخه‌ی LTS اوبونتو یعنی 18.04 تشکیل می‌ده، پس احتمالاً فیکس شده باشه ولی باز هم محض اطمینان می‌تونین نسخه‌ی libebml تون رو چک کنین. در صورتی که 1.3.5-2 باشه، یعنی آسیب‌پذیری رفع شده.

[رسول سعیدنژاد]

یعنی این باگ از قبلِ آوریل 2018 وجود داشته و از بعدِ اون تاریخ واسه اوبونتو فیکس شده بعد الان خبرش بیرون اومده؟؟ 
چجوریاس؟؟

[علی رزم دیده]

یعنی این باگ از قبلِ آوریل 2018 وجود داشته و از بعدِ اون تاریخ واسه اوبونتو فیکس شده بعد الان خبرش بیرون اومده؟؟ 
چجوریاس؟؟

سلام رسول جان
این باگ تازه کشف شده و زمان انتشار اون هم 2019/07/16 هست.
دلیل اینکه نسخه‌های جدیدتر اوبونتو یا بهتره بگم نسخه‌های جدیدتر libebml مشمول این آسیب‌پذیری نمی‌شن، دقیقاً همونی هست که خودت فرستاده بودی:

کد: [انتخاب]

libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement. آپدیت‌های اوبونتو برای نسخه‌های 18.04 و 16.04 هم به تازگی و از روی پچ‌هایی مثل این منتشر شده و اومدن روی نسخه‌ی 1.3.6 که توی 2018 اتفاق افتاد (یا قبل‌ از اون، اومدن دبیان تستینگ روی نسخه‌ی 1.3.6-2 تو تاریخ 2018-04-27)، به‌خاطر این آسیب‌پذیری نبودش و روند طبیعی توسعه‌ی نرم‌افزار بود که حالا این آسیب‌پذیری رو هم تحت شعاع قرار داده.

[رسول سعیدنژاد]

آها یعنی این کتابخونه تا سال 2018 مستعد این باگ بوده، بعد توی نسخهٔ جدیدش که توسعه دادن اون باگ خود به خود دیگه حل شده بوده و اوبونتوهای جدید گرفتن. ولی بعد معلوم شده که باگ داشته و حالا قبلِ آوریل 2018یی‌ها که می‌شن 18.04 و 16.04 باید پچ رو می‌گرفتن. درست گفتم؟

[علی رزم دیده]

آها یعنی این کتابخونه تا سال 2018 مستعد این باگ بوده، بعد توی نسخهٔ جدیدش که توسعه دادن اون باگ خود به خود دیگه حل شده بوده و اوبونتوهای جدید گرفتن. ولی بعد معلوم شده که باگ داشته و حالا قبلِ آوریل 2018یی‌ها که می‌شن 18.04 و 16.04 باید پچ رو می‌گرفتن. درست گفتم؟

بله کاملاً درسته.

[S Y N C R E X]

روی KDE Neno به این شکل هست :

کد: [انتخاب]

libebml4v5/bionic-updates,bionic-security,now 1.3.5-2ubuntu0.1 amd64 [installed,automatic]
libebml4v5/bionic 1.3.5-2 amd64
این یعنی من الان شامل آسب پذیری هستم درسته ؟

[رسول سعیدنژاد]

ولی باز هم محض اطمینان می‌تونین نسخه‌ی libebml تون رو چک کنین. در صورتی که 1.3.5-2 باشه، یعنی آسیب‌پذیری رفع شده.

[S Y N C R E X]

تشکر ٬ فقط این جمله رو خونده بودم :

در واقع تو نسخه‌ی 1.3.6 و بالاتر libebml این آسیب‌پذیری وجود نداره