デフォルトのVLC 3.0.4パッケージによるUbuntuのセキュリティリスク?
これは VLCからの最新のセキュリティ勧告 です。
セキュリティアドバイザリ1901
概要:読み取りバッファオーバーフローと2倍の空き日
:2019年6月影響を受けるバージョン:VLCメディアプレーヤー3.0.6以前ID:VideoLAN-SA-1901 CVEリファレンス:CVE-2019-5439、CVE-2019-12874細部
リモートユーザーは、特別に細工されたいくつかのaviまたはmkvファイルを作成できます。ターゲットユーザーによって読み込まれると、ReadFrame(demux/avi/avi.c)でヒープバッファーオーバーフロー(読み取り)、またはzlib_decompress_extra()でダブルフリーがトリガーされます。 (demux/mkv/utils.cpp)それぞれ影響
成功した場合、悪意のあるサードパーティがVLCのクラッシュまたはターゲットユーザーの権限での任意のコード実行をトリガーする可能性があります。脅威の軽減
これらの問題を悪用するには、ユーザーが特別に細工されたファイルまたはストリームを明示的に開く必要があります。
ASLRとDEPは露出を減らすのに役立ちますが、バイパスされる場合があります。回避策
パッチが適用されるまで、ユーザーは信頼できないサードパーティからファイルを開いたり、信頼できないリモートサイトにアクセスしたりしないでください(またはVLCブラウザープラグインを無効にします)。解決
VLCメディアプレーヤー3.0.7はこの問題に対処します。
彼らによると、VLCメディアプレーヤー3.0.7をインストールすると問題が解決します。
ただし、Ubuntuで利用できるのは古いバージョン3.0.4です。
user@linux:~$ apt show vlc
Package: vlc
Version: 3.0.4-1ubuntu0.2
Priority: optional
Section: universe/graphics
Origin: Ubuntu
これは高いセキュリティリスクと見なされていませんか?
Ubuntuの現在サポートされているすべてのバージョンにvlcスナップパッケージバージョン3.0.7をインストールするには、ターミナルを開いて次のように入力します。
Sudo snap install vlc
VLCはVideoLANプロジェクトのメディアプレーヤーです。完全にオープンソースでプライバシーに配慮し、あらゆるマルチメディアファイルとストリームを再生します。 vlc snapパッケージは、更新が利用可能な場合、バックグラウンドで自動的に更新されます。
Linuxエコシステムには、このようなセキュリティリスクを回避するいくつかの方法があります。利用可能な更新されたスナップパッケージがない場合は、同じパッケージの更新されたバージョンを仮想環境にインストールできます。たとえば、python-kivyで18.04にバグがあります この回避策 。安全な代替案としては、同じアプリケーションの更新されたフラットパックパッケージを検索し、ルート特権のない通常のユーザーとして自分のホームディレクトリにフラットパックパッケージをインストールする方法があります。