Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]


Groups > de.comp.os.unix.linux.misc > #131745 > unrolled thread

VLC

Started byMatthias Gerds <m.gerds@posteo.de>
First post2023-06-21 19:41 +0200
Last post2023-06-24 20:59 +0200
Articles 20 on this page of 67 — 17 participants

Back to article view | Back to de.comp.os.unix.linux.misc


Contents

  VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 19:41 +0200
    Re: VLC Tim Ritberg <tim@server.invalid> - 2023-06-21 19:57 +0200
      Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 20:54 +0200
        Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 21:47 +0200
          Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:46 +0200
          Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-24 12:04 +0200
            Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-24 17:24 +0200
              Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-24 20:54 +0200
              Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-25 12:17 +0200
                Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-25 19:02 -0400
            Re: VLC Hermann Riemann <nospam.ng@hermann-riemann.de> - 2023-06-24 17:56 +0200
              Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-25 12:18 +0200
        Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-21 22:01 +0200
          Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:47 +0200
            Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-22 19:45 +0200
              Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-23 09:31 +0200
                Re: VLC Joerg Lorenz <hugybear@gmx.ch> - 2023-06-23 09:36 +0200
                Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-23 09:43 +0200
                  Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-23 12:02 +0200
                Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-23 21:27 -0400
                  Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-24 09:31 +0200
                    Re: VLC Wolfgang Bauer <wolfgang-bauer@mein.gmx> - 2023-06-24 10:55 +0200
                      Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-24 17:50 +0200
                    Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-24 21:48 -0400
        Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-21 22:18 +0200
          Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:47 +0200
        Re: VLC Frank Miller <miller@posteo.ee> - 2023-06-21 22:44 +0200
          Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:48 +0200
        Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-21 21:51 -0400
          Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 11:34 +0200
            Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 11:56 +0200
              Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 12:12 +0200
                Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 12:17 +0200
                  Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 12:27 +0200
                    Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 12:39 +0200
            Re: VLC Gerald E¡scher <Spamer@fahr-zur-Hoelle.org> - 2023-06-22 13:45 +0000
              Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 16:08 +0200
                Re: VLC Gerald E¡scher <Spamer@fahr-zur-Hoelle.org> - 2023-06-22 14:38 +0000
                  Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 18:26 +0200
                    Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-22 18:34 +0200
                      Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 15:56 -0400
                      Re: VLC Sieghard Schicktanz <Sieghard.Schicktanz@SchS.de> - 2023-06-22 22:37 +0200
                        Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-23 11:23 +0200
                Re: VLC Christian Garbs <mitch@cgarbs.de> - 2023-06-22 14:45 +0000
              Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 19:37 +0200
                Re: VLC Gerald E¡scher <Spamer@fahr-zur-Hoelle.org> - 2023-06-22 18:38 +0000
                  Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 16:02 -0400
              Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 15:51 -0400
      Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 23:32 +0200
    Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 21:03 +0200
      Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-21 22:20 +0200
        Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 23:16 +0200
          Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 10:51 +0200
            Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-22 12:00 +0200
              Re: VLC Wolfgang Bauer <wolfgang-bauer@mein.gmx> - 2023-06-22 12:27 +0200
          Re: VLC Ralph Angenendt <dein.name@strg-alt-entf.org> - 2023-06-22 09:03 +0000
            Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 20:02 -0400
              Re: VLC Patrick Rudin <taxi_bs@gmx.ch> - 2023-06-23 14:59 +0200
              Re: VLC Christian Garbs <mitch@cgarbs.de> - 2023-07-09 18:55 +0000
    Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-21 22:17 +0200
      Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-21 21:48 -0400
        Re: VLC Hermann Riemann <nospam.ng@hermann-riemann.de> - 2023-06-22 07:11 +0200
          Re: VLC Joerg Lorenz <hugybear@gmx.ch> - 2023-06-22 09:08 +0200
          Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-24 17:27 +0200
    Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-24 12:03 +0200
      Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-24 17:35 +0200
        Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-24 20:59 +0200

Page 3 of 4 — ← Prev page 1 2 [3] 4  Next page →


#131838

FromAndreas Kohlbach <ank@spamfence.net>
Date2023-06-22 15:56 -0400
Message-ID<877crvjmoq.fsf@usenet.ankman.de>
In reply to#131828
On Thu, 22 Jun 2023 18:34:07 +0200, Peter J. Holzer wrote:
>
> On 2023-06-22 16:26, Marco Moock <mo01@posteo.de> wrote:
>> Am 22.06.2023 um 14:38:08 Uhr schrieb Gerald E¡scher:
>>> Betrifft das Abspielen von manipulierten Dateien und hat nichts mit
>>> den mit Malware verseuchten VLCs für Windows zu tun, wie von Matthias
>>> suggeriert.
>>
>> Und kann laut https://ubuntu.com/security/notices/USN-6180-1
>> aber nur Abstürze verursachen.
>
> Nope. Da steht zwei mal: "... or possibly execute arbitrary code".

Auch "Denial of service".

Eine Kernel-Panik scheint mir unwahrscheinlich. Dürfte andernfalls ein
Nebeneffekt (z.B. ein GPU Treiber, der das nicht abfängt) sein — solange
VLC nicht als root lief.
-- 
Andreas

[toc] | [prev] | [next] | [standalone]


#131847

FromSieghard Schicktanz <Sieghard.Schicktanz@SchS.de>
Date2023-06-22 22:37 +0200
Message-ID<20230622223711.241233e8@Achmuehle.WOR>
In reply to#131828
Hallo Peter,

Du schriebst am Thu, 22 Jun 2023 18:34:07 +0200:


> > Und kann laut https://ubuntu.com/security/notices/USN-6180-1
> > aber nur Abstürze verursachen.  
> 
> Nope. Da steht zwei mal: "... or possibly execute arbitrary code".
> 
>         hp
> 
> PS; Der "rouge VNC server" ist auch nett. Kann mir nicht passieren, ich
>     verwende nur vert server ;-)

Echt? Ein verschämter (erröteter) VNC-Server? Wie äußert sich denn das?

-- 
(Weitergabe von Adressdaten, Telefonnummern u.ä. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder ähnlichem)
-----------------------------------------------------------
Mit freundlichen Grüßen, S. Schicktanz
-----------------------------------------------------------

[toc] | [prev] | [next] | [standalone]


#131873

From"Peter J. Holzer" <hjp-usenet3@hjp.at>
Date2023-06-23 11:23 +0200
Message-ID<slrnu9ap41.p8m4.hjp-usenet3@trintignant.hjp.at>
In reply to#131847
On 2023-06-22 20:37, Sieghard Schicktanz <Sieghard.Schicktanz@SchS.de> wrote:
> Hallo Peter, Du schriebst am Thu, 22 Jun 2023 18:34:07 +0200:
>> > laut https://ubuntu.com/security/notices/USN-6180-1
[...]
>> PS; Der "rouge VNC server" ist auch nett. Kann mir nicht passieren, ich
>>     verwende nur vert server ;-)
>
> Echt? Ein verschämter (erröteter) VNC-Server? Wie äußert sich denn das?
>

Auf die Gefahr hin, das Offensichtliche festzustellen: "rouge" im
Advisory ist ein Tippfehler. Das sollte offensichtlich "rogue" heißen.
Ich fand das aber lustig, und habe daher scherzhaft angemerkt, dass mich
diese Sicherheitslücke nicht betrifft, weil ich keine roten (rouge) VNC-Server
verwende, sondern nur grüne (vert).

        hp

[toc] | [prev] | [next] | [standalone]


#131822

FromChristian Garbs <mitch@cgarbs.de>
Date2023-06-22 14:45 +0000
Message-ID<u71mq7$1klj$1@yggdrasil.dn.cgarbs.de>
In reply to#131815
Mahlzeit!

Marco Moock <mo01@posteo.de> wrote:
> Am 22. Juni 2023 schrieb Gerald E¡scher:
> 
>> Debian 11 hat übrigens auf VLC 3.0.18 aktualisiert;
> 
> Und das schon letztes Jahr.
> 
>> damit ist auch die Linux betreffene, einigermaßen harmlose
>> Sicherheizlücke beseitigt, die aber nichts mit irgendwelchen
>> Schädlingen zu tun hat.
> 
> Gibt es mehr Infos dazu?
> Ich finde die Version 3.0.18 in den Release-Notes gar nicht, obwohl es
> die bei VideoLAN gibt.
> https://github.com/videolan/vlc/blob/master/NEWS

Ich weiß nicht, was die da gemacht haben mit ihrer NEWS-Datei, es
stand früher mal drin.  Wurde der 4.0-Stand im master auf Basis von
VLC 3.0.13 geforkt?


Hier ist das 3.0.18-Release:
https://github.com/videolan/vlc/releases/tag/3.0.18

Die NEWS-Datei sah zum damaligen Zeitpunkt (Commit e9eceae) so aus:
https://github.com/videolan/vlc/blob/e9eceaed4d838dbd84638bfb2e4bdd08294163b1/NEWS#L1-L76

Gruß,
Christian
-- 
....Christian.Garbs....................................https://www.cgarbs.de
BLINK-Tag und Framesets waren harmlos - die Zukunft gehoert
der vollanimierten inhaltsfreien Webseite mit integriertem
clientseitigem Denial-of-Service... :-(      (Markus Fleck)

[toc] | [prev] | [next] | [standalone]


#131830

FromMatthias Gerds <m.gerds@posteo.de>
Date2023-06-22 19:37 +0200
Message-ID<kfjf6sFngcrU1@mid.individual.net>
In reply to#131814
Am 22.06.23 um 15:45 schrieb Gerald E¡scher:
> Matthias Gerds schrieb am 22/6/2023 11:34:
> 
>> Tatsächlich Kernel panic beim Booten. IMHO geht in dem Stadion
>> STRG-ALT-F6 nicht, genauso wie andere virtuelle Consolen.
>>
>> Aber: Oh Wunder. Der Rechner fuhr heute 10:30 wieder normal hoch. Also
>> muss sich da irgendein Schrott - Schädling oder nicht - im
>> Arbeitsspeicher oder sonst wo eingenistet haben, und schuld war definitv
>> VLC.
> 
> Nein, VLC läuft mit Benutzerrechten und kann daher den Boot-Prozess
> nicht beeinflussen und schon gar nicht sich irgendwo einnisten.
> Das mit den Schädlingen betrifft nur WINDOOFS-Versionen von VLC aus
> nichtoffiziellen Quellen.
> 
>>> Sonst mal einen neuen User anlegen, sich mit dem einloggen, um es dort
>>> mit VLC zu versuchen.
>>
>> Habe sowieso immer mehrere Benutzer angelegt, um gefahrlos verschiedene
>> Desktops und Umgebungen auszuprobieren, ohne meine gewohnte Umgebung zu
>> zerstören.
>>
>> Aber nee, VLC ist für mich gestorben, versuche ihn gerade gründlich zu
>> eliminieren.
> 
> Tja, die Welt ist so einfach. Problem ist mit dem Starten des VLC
> aufgetreten, messerscharfer Schluss: VLC ist schuld.
> Dass es vielleicht am von dir nicht genannten Grafik-"Treiber" liegen
> könnte oder an instabiler Hardware oder an sonst irgendwas anderem,
> kommt dir anscheinend nicht in den Sinn.

Kann auch am Grafiktreiber, den Treibern für das DVD-Laufwerk, dvdcss 
(hatte versucht, eine Film-DVD abzuspielen) oder sonst etwas gelegen 
haben, aber VLC ist ein Sicherheitsrisiko wie eigentlich jede 
plattformübergreifend sehr beliebte Software, und glaube nicht, dass Du 
sicher bist, nur weil Du Linux benutzt.

https://www.youtube.com/watch?v=e6o2afben0s
https://www.youtube.com/watch?v=J_W6CD1BYtE

> Debian 11 hat übrigens auf VLC 3.0.18 aktualisiert; damit ist auch die
> Linux betreffene, einigermaßen harmlose Sicherheizlücke beseitigt, die
> aber nichts mit irgendwelchen Schädlingen zu tun hat.

Ich HATTE und HABE immer noch 3.0.18. Wenn das Ding meinen Desktop 
abschießen konnte, dann KANN damit nicht alles in Ordnung gewesen sein. 
Lieber verbanne ich eine Software vom Gerät als dass ich das ganze 
System gefährde. Just MHO.

M:

[toc] | [prev] | [next] | [standalone]


#131833

FromGerald E¡scher <Spamer@fahr-zur-Hoelle.org>
Date2023-06-22 18:38 +0000
Message-ID<168745913290.1695.15370217566944533781.XPN@ID-37099.user.uni-berlin.de>
In reply to#131830
Matthias Gerds schrieb am 22/6/2023 19:37:

> Am 22.06.23 um 15:45 schrieb Gerald E¡scher:
>> Matthias Gerds schrieb am 22/6/2023 11:34:
>> 
>>> Aber nee, VLC ist für mich gestorben, versuche ihn gerade gründlich zu
>>> eliminieren.
>> 
>> Tja, die Welt ist so einfach. Problem ist mit dem Starten des VLC
>> aufgetreten, messerscharfer Schluss: VLC ist schuld.
>> Dass es vielleicht am von dir nicht genannten Grafik-"Treiber" liegen
>> könnte oder an instabiler Hardware oder an sonst irgendwas anderem,
>> kommt dir anscheinend nicht in den Sinn.
>
> Kann auch am Grafiktreiber, den Treibern für das DVD-Laufwerk, dvdcss 
> (hatte versucht, eine Film-DVD abzuspielen) oder sonst etwas gelegen 
> haben, aber VLC ist ein Sicherheitsrisiko

Begründung? Oder nur FUD?

> https://www.youtube.com/watch?v=e6o2afben0s

Betrifft nur Leute, die ohne nachzudenken auf den nächstbesten Link
klicken, den ihnen Google präsentiert, ist aber nicht relevant, wenn man
VLC aus dem Repository seiner Distribution oder von videolan.org
bezieht.

> https://www.youtube.com/watch?v=J_W6CD1BYtE

Sehe ich mir nicht an. Youtuber erzählen viel, wenn der Tag lang ist und
sie Klicks generieren können.

>> Debian 11 hat übrigens auf VLC 3.0.18 aktualisiert; damit ist auch die
>> Linux betreffene, einigermaßen harmlose Sicherheizlücke beseitigt, die
>> aber nichts mit irgendwelchen Schädlingen zu tun hat.
>
> Ich HATTE und HABE immer noch 3.0.18.

Passt, dann bist du von der besagten Sicherheizlücke nicht betroffen.

> Wenn das Ding meinen Desktop 
> abschießen konnte,

Wie oft noch? VLC läuft mit Benutzerrechten, der kann keinen Desktop
abschießen. Der Fehler liegt woanders.

-- 
Gerald

[toc] | [prev] | [next] | [standalone]


#131839

FromAndreas Kohlbach <ank@spamfence.net>
Date2023-06-22 16:02 -0400
Message-ID<874jmzjmew.fsf@usenet.ankman.de>
In reply to#131833
On 22 Jun 2023 18:38:53 GMT, Gerald E¡scher wrote:
>
> Matthias Gerds schrieb am 22/6/2023 19:37:
>
>> Wenn das Ding meinen Desktop 
>> abschießen konnte,
>
> Wie oft noch? VLC läuft mit Benutzerrechten, der kann keinen Desktop
> abschießen. Der Fehler liegt woanders.

Desktop = Window Manager? Sollte IMO doch möglich sein, dass eine App den
Desktop abschießt, auf dem es läuft, wenn es auch nicht passieren sollte
und selten ist. Ich hatte das vor Jahren (einem Jahrzehnt), dass eine
bestimmte Anwendung reproduzierbar Gnome beendete — ggf. war die schwache
RAM-Ausstattung der Grund. Erst stand alles einige Sekunden, dann wurde
Gnome neu gestartet. Logs habe ich mir damals nicht angeschaut, sondern
die Anwendung nicht weiter verwendet. Ein paar Wochen später existierte
das Problem nicht mehr.

Matthias erwähnte vorher allerdings "Kernel-Panik", was etwas ganz
anderes als ein abgeschossener Desktop ist.
-- 
Andreas

[toc] | [prev] | [next] | [standalone]


#131837

FromAndreas Kohlbach <ank@spamfence.net>
Date2023-06-22 15:51 -0400
Message-ID<87a5wrjmxc.fsf@usenet.ankman.de>
In reply to#131814
On 22 Jun 2023 13:45:33 GMT, Gerald E¡scher wrote:
>
> Matthias Gerds schrieb am 22/6/2023 11:34:
>
>> Habe sowieso immer mehrere Benutzer angelegt, um gefahrlos verschiedene 
>> Desktops und Umgebungen auszuprobieren, ohne meine gewohnte Umgebung zu 
>> zerstören.
>>
>> Aber nee, VLC ist für mich gestorben, versuche ihn gerade gründlich zu 
>> eliminieren.
>
> Tja, die Welt ist so einfach. Problem ist mit dem Starten des VLC
> aufgetreten, messerscharfer Schluss: VLC ist schuld.
> Dass es vielleicht am von dir nicht genannten Grafik-"Treiber" liegen
> könnte oder an instabiler Hardware oder an sonst irgendwas anderem,
> kommt dir anscheinend nicht in den Sinn.

Stimme ich zu.

Kann aber auch erkennen, dass wenn kein anderer Prozess den Rechner in
den Abgrund reißt, es an noch etwas ganz anderem liegen kann.

Ich denke trotzdem, VLC ist nicht Schuld. Selbst wenn es eine Funktion des
GPU Treibers nimmt, die buggy ist, sollte das nicht zum Absturz des
Systems führen.

Andere Idee: Rechner mit "abgesicherten Modus" starten in der Annahme,
dass dann VESA als Treiber verwendet wird. Ob VLC dann immer noch den
Rechner mit sich in den Abgrund zieht.
-- 
Andreas

[toc] | [prev] | [next] | [standalone]


#131763

FromBernd Mayer <beam.bam.boom@knuut.de>
Date2023-06-21 23:32 +0200
Message-ID<u6vq9n$1mlec$2@news.nnpt4.net>
In reply to#131746
Am 21.06.23 um 19:57 schrieb Tim Ritberg:
> Am 21.06.23 um 19:41 schrieb Matthias Gerds:
>> https://www.pcwelt.de/article/1203396/hacker-nutzen-vlc-media-player-als-malware-schleuder.html
>>
>> Gibt's evtl. andere/neuere Erkenntnisse?
> Alte Erkenntnisse: Es geht um Windows!

Hallo,

https://www.news.de/technik/856621056/vlc-gefaehrdet-it-sicherheitswarnung-vom-bsi-und-bug-report-update-zu-bekannten-
schwachstellen-und-sicherheitsluecken-vom-21-06-2023/1/

Da steht, daß Linux auch betroffen ist.

https://ubuntu.com/security/notices/USN-6180-1


Bernd Mayer

[toc] | [prev] | [next] | [standalone]


#131751

FromBernd Mayer <beam.bam.boom@knuut.de>
Date2023-06-21 21:03 +0200
Message-ID<u6vhhg$1milb$1@news.nnpt4.net>
In reply to#131745
Am 21.06.23 um 19:41 schrieb Matthias Gerds:
> Vorsicht vor dem VLC-Mediaplayer. Zumindest die älteren Versionen sind 
> durch Hacker unterwandert.
> Beim Versuch, eine DVD abzuspielen, ist bei mir der ganze Desktop 
> abgestürzt zurück auf Login. Und jetzt startet das ganze System nicht 
> mehr (Kernel panic). Möglicherweise ist das bei neueren Versionen 
> bereinigt. Bei meiner war das offenbar nicht der Fall. Vielleicht ist 
> aber auch ein ganz anderer Fehler der Grund für den Absturz.
> 
> Die Meldungen sind zwar schon 1 Jahr alt, aber die VLC-Version vom 
> Debian-11-Repository wohl auch.
> 
> Gibt's evtl. andere/neuere Erkenntnisse?

Hallo,

bei Ubuntu-20.04 gab es gerade updates für VLC-Programme.


Bernd Mayer

[toc] | [prev] | [next] | [standalone]


#131759

FromMarco Moock <mo01@posteo.de>
Date2023-06-21 22:20 +0200
Message-ID<u6vm1v$30bbk$3@dont-email.me>
In reply to#131751
Am 21.06.2023 um 21:03:12 Uhr schrieb Bernd Mayer:

> bei Ubuntu-20.04 gab es gerade updates für VLC-Programme.

Sehe ich nix von, das ist von 2020:
http://changelogs.ubuntu.com/changelogs/pool/universe/v/vlc/vlc_3.0.9.2-1/changelog

Liegt zudem in universe und hat daher für Canonical keine Priorität.

[toc] | [prev] | [next] | [standalone]


#131761

FromBernd Mayer <beam.bam.boom@knuut.de>
Date2023-06-21 23:16 +0200
Message-ID<u6vpbg$1mlec$1@news.nnpt4.net>
In reply to#131759
Am 21.06.23 um 22:20 schrieb Marco Moock:
> Am 21.06.2023 um 21:03:12 Uhr schrieb Bernd Mayer:
> 
>> bei Ubuntu-20.04 gab es gerade updates für VLC-Programme.
> 
> Sehe ich nix von, das ist von 2020:
> http://changelogs.ubuntu.com/changelogs/pool/universe/v/vlc/vlc_3.0.9.2-1/changelog
> 
> Liegt zudem in universe und hat daher für Canonical keine Priorität.
> 
Hallo,

ich hatte kurz vor dem Lesen des postings von Matthias die updates 
eingespielt.

Zur Kontrolle habe ich gerade mal auf:
ftp://cdimages.ubuntu.com/ubuntu/pool/universe/v/vlc
nachgesehen.

Da liegen etliche  Dateien mit der Anfangssilbe "vlc" herum mit dem 
Datum vom 20.6.2023.

Wie kann man das erklären?


Bernd Mayer

[toc] | [prev] | [next] | [standalone]


#131795

FromMarco Moock <mo01@posteo.de>
Date2023-06-22 10:51 +0200
Message-ID<20230622105122.54d2611d@posteo.de>
In reply to#131761
Am 21. Juni 2023 schrieb Bernd Mayer:

> Da liegen etliche  Dateien mit der Anfangssilbe "vlc" herum mit dem 
> Datum vom 20.6.2023.
> 
> Wie kann man das erklären?

Weil die für neuere Versionen sind.
Es wird aber geguckt, was für focal die neueste ist. Diese Datei wird
dann von apt geladen.

[toc] | [prev] | [next] | [standalone]


#131800

FromBernd Mayer <beam.bam.boom@knuut.de>
Date2023-06-22 12:00 +0200
Message-ID<u7163g$1n9v8$1@news.nnpt4.net>
In reply to#131795
Am 22.06.23 um 10:51 schrieb Marco Moock:
> Am 21. Juni 2023 schrieb Bernd Mayer:
> 
>> Da liegen etliche  Dateien mit der Anfangssilbe "vlc" herum mit dem
>> Datum vom 20.6.2023.
>>
>> Wie kann man das erklären?
> 
> Weil die für neuere Versionen sind.
> Es wird aber geguckt, was für focal die neueste ist. Diese Datei wird
> dann von apt geladen.
> 
Hallo,

laut https://ubuntu.com/security/notices/USN-6180-1
ist auch Ubuntu 20.04 aktuell betroffen von dieser schweren 
Sicherheitslücke.

Ich halte es auch für möglich, daß diese eilig und mit Vorrang 
geschlossen wurde und die Einträge im changelog verspätet eingetragen 
werden.
Manchmal sind ja verschiedene Personen zuständig zum Schiessen der 
Sicherheitslücke und zum Schreiben der Doku.

Gestern abend hatte ich auch das update von mehreren VLC-Dateien auf 
Ubuntu-22,04 beobachtet.

Sowohl bei 20.04 und auch bei 22.04 habe ich kein Ubuntu-Pro aktiviert.


Bernd Mayer

[toc] | [prev] | [next] | [standalone]


#131806

FromWolfgang Bauer <wolfgang-bauer@mein.gmx>
Date2023-06-22 12:27 +0200
Message-ID<10c58ly39g97l$.dlg@wolfgang-bauer.at>
In reply to#131800
Bernd Mayer schrieb:

> Hallo,

> laut https://ubuntu.com/security/notices/USN-6180-1
> ist auch Ubuntu 20.04 aktuell betroffen von dieser schweren
> Sicherheitslücke.

Es gibt Ubuntu 23.04
Ich habe hier in (K)Ubuntu 23.04
VLC media player 3.0.18 Vetinari (revision 3.0.13-8-g41878ff4f2)
Es gibt bei mir keine Abstürze.

Freundliche Grüße
Wolfgang
-- 
Die Katze ist nicht mein Gefangener,
sondern ein unabhängiges Wesen von fast gleichem Status,
das zufällig im selben Haus lebt, wie ich.
Konrad Lorenz

[toc] | [prev] | [next] | [standalone]


#131796

FromRalph Angenendt <dein.name@strg-alt-entf.org>
Date2023-06-22 09:03 +0000
Message-ID<slrnu983jl.eka.dein.name@news.strg-alt-entf.org>
In reply to#131761
Bernd Mayer erdachte folgendes:
> Zur Kontrolle habe ich gerade mal auf:
> ftp://cdimages.ubuntu.com/ubuntu/pool/universe/v/vlc
> nachgesehen.
>
> Da liegen etliche  Dateien mit der Anfangssilbe "vlc" herum mit dem 
> Datum vom 20.6.2023.
>
> Wie kann man das erklären?

Durch Schnarchnasigkeit, die Lücken sind seit November 2022 bekannt und
in VLC 3.0.18 gefixt.

https://www.videolan.org/security/sb-vlc3018.html

Ralph
-- 
Is your mother worried?
Would you like us to assign someone to worry your mother?

[toc] | [prev] | [next] | [standalone]


#131856

FromAndreas Kohlbach <ank@spamfence.net>
Date2023-06-22 20:02 -0400
Message-ID<87cz1nhwql.fsf@usenet.ankman.de>
In reply to#131796
On Thu, 22 Jun 2023 09:03:49 -0000 (UTC), Ralph Angenendt wrote:
>
> Bernd Mayer erdachte folgendes:
>> Zur Kontrolle habe ich gerade mal auf:
>> ftp://cdimages.ubuntu.com/ubuntu/pool/universe/v/vlc
>> nachgesehen.
>>
>> Da liegen etliche  Dateien mit der Anfangssilbe "vlc" herum mit dem 
>> Datum vom 20.6.2023.
>>
>> Wie kann man das erklären?
>
> Durch Schnarchnasigkeit, die Lücken sind seit November 2022 bekannt und
> in VLC 3.0.18 gefixt.                         ^^^^^^^^^^^^^
>
> https://www.videolan.org/security/sb-vlc3018.html

Wow!

Dann schnarchen die Maintainer? Hier von Debian 13 (Trixie):

VLC version 3.0.18 Vetinari (3.0.13-8-g41878ff4f2)
Compiled by Debian buildd for sid on Debian i386 buildd (Jun 13 2023 19:49:47)
                                                         ^^^^^^^^^^^
(Das ist gar sid (habe ich auch noch drin, werde ich aber mal raus werfen.)

Das wären sieben Monate geschlafen.

aptitude-Logs bis runter nach Januar hatten *keine* Update. Davor habe
ich keine Logs. Aktuelles Update kam mit dem Release-Upgrade neulich rein.

Btw. einem User, der frequente Updates macht, kann man eine alte Version
kaum anlasten.
-- 
Andreas

[toc] | [prev] | [next] | [standalone]


#131885

FromPatrick Rudin <taxi_bs@gmx.ch>
Date2023-06-23 14:59 +0200
Message-ID<kflj8pF309bU1@mid.individual.net>
In reply to#131856
Andreas Kohlbach wrote:
> Das wären sieben Monate geschlafen.

Ja. Guck in den Spiegel.

https://tracker.debian.org/pkg/vlc


Grüsse

Patrick

[toc] | [prev] | [next] | [standalone]


#132668

FromChristian Garbs <mitch@cgarbs.de>
Date2023-07-09 18:55 +0000
Message-ID<u8evqr$ocfu$1@yggdrasil.dn.cgarbs.de>
In reply to#131856
Mahlzeit!

Andreas Kohlbach <ank@spamfence.net> wrote:
> On Thu, 22 Jun 2023 09:03:49 -0000 (UTC), Ralph Angenendt wrote:
>>
>> Bernd Mayer erdachte folgendes:
>>> Zur Kontrolle habe ich gerade mal auf:
>>> ftp://cdimages.ubuntu.com/ubuntu/pool/universe/v/vlc
>>> nachgesehen.
>>>
>>> Da liegen etliche  Dateien mit der Anfangssilbe "vlc" herum mit dem 
>>> Datum vom 20.6.2023.
>>>
>>> Wie kann man das erklären?
>>
>> Durch Schnarchnasigkeit, die Lücken sind seit November 2022 bekannt und
>> in VLC 3.0.18 gefixt.                         ^^^^^^^^^^^^^
>>
>> https://www.videolan.org/security/sb-vlc3018.html
> 
> Wow!
> 
> Dann schnarchen die Maintainer? Hier von Debian 13 (Trixie):
> 
> VLC version 3.0.18 Vetinari (3.0.13-8-g41878ff4f2)
> Compiled by Debian buildd for sid on Debian i386 buildd (Jun 13 2023 19:49:47)
>                                                          ^^^^^^^^^^^
> (Das ist gar sid (habe ich auch noch drin, werde ich aber mal raus werfen.)
> 
> Das wären sieben Monate geschlafen.

Nur, weil der letzte Build von letztem Monat ist, heißt das ja nicht,
dass es vorher keinen gab ;-)

Die gefixte Version 3.0.18-1 gibt es seit November 2022,
siehe https://tracker.debian.org/pkg/vlc in der Box "news"
(am 27.11.2022 nach unstable und von dort aus am 29.11.2022 nach
testing).

Es kamen dann zwei neuere Versionen hinterher:
- 3.0.18-2 (unstable am 04.12.2022, testing am 07.12.2022)
- 3.0.18-3 (unstable am 01.07.2023, testing am 01.07.2023)

Diese beiden Versionen enthalten aber nichts "aufregendes" mehr, siehe
Changelog:
https://metadata.ftp-master.debian.org/changelogs//main/v/vlc/vlc_3.0.18-3_changelog


Debian 11 (damals stable) hat den Fix am 06.02.2022 mit Version
3.0.18-0+deb11u1 über stable-security erhalten, das Changelog sagt
explizit:

|     * New upstream version 3.0.18
|       - Fix buffer overflow in the vnc module (CVE-2022-41325)


Die Version 3.0.18-3 ist die, die Du bei Dir gesehen hast.  Aus der
angezeigten Programmversion und dem dem Builddatum lässt sich nicht
schlussfolgern, wann die Version zum ersten Mal bei Dir ausgeliefert
wurde und wie die Vorgängerversion hieß (vor allem, weil
Programmversion und Paketversion getrennt gezählt werden).

Schau für sowas lieber auf die Debian-Paketversion und das bei Dir
installierte Changelog unter /usr/share/doc/vlc/changelog.Debian.gz




Oder hab ich Dich falsch verstanden und Du meinstest, dass die *Ubuntu*-
Entwickler schlafen, weil sie es seit November 2022 nicht schaffen,
das aktualisierte Debian-Paket zu übernehmen und selbst neu zu bauen?
Dann vergiss meinen Sermon ;-)

Gruß
Christian
-- 
....Christian.Garbs....................................https://www.cgarbs.de
Wenn man Schnecken verspeist, sind sie ganz aus dem Häuschen.

[toc] | [prev] | [next] | [standalone]


#131757

FromMarco Moock <mo01@posteo.de>
Date2023-06-21 22:17 +0200
Message-ID<u6vlt1$30bbk$1@dont-email.me>
In reply to#131745
Am 21.06.2023 um 19:41:23 Uhr schrieb Matthias Gerds:

> Vorsicht vor dem VLC-Mediaplayer. Zumindest die älteren Versionen
> sind durch Hacker unterwandert.

|Die Angreifer nutzten anscheinend eine nicht geschlossene
|Sicherheitslücke in einem Microsoft-Exchange-Server aus, um ihre
|Malware zu verbreiten. Die Schadsoftware tarnten die Angreifer durch
|den bekannten VLC Video Player. Die eigentliche VLC-Datei war
|einwandfrei, doch sie nutzte eine bösartige DLL-Datei, um die Malware
|einzuschleusen und gleichzeitig zu tarnen. Für die Fernsteuerung der
|infizierten Rechner nutzten die Angreifer auch einen WinVNC-Server.

Wo war da nun die Lücke im echten VLC?

[toc] | [prev] | [next] | [standalone]


Page 3 of 4 — ← Prev page 1 2 [3] 4  Next page →

Back to top | Article view | de.comp.os.unix.linux.misc


csiph-web