Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (13.06.19):
Neues Advisory

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten
Angreifer verschiedene Denial-of-Service (DoS)-Angriffe und die Ausführung
beliebigen Programmcodes.

Der Hersteller informiert über die Schwachstellen und veröffentlicht VLC
Media Player in der Version 3.0.7, um die Schwachstellen zu beheben.

Weiterhin wird über einen Schreibzugriff außerhalb gültiger Grenzen (Out-of-
Bound Write) und einen Überlauf des Stack-basierten Pufferspeichers (Stack
Buffer Overflow) berichtet. Ersterer beruht auf einem Fehler in der von VLC
Media Player genutzten faad2-Bibliothek, welche nicht mehr gepflegt wird.
Der Überlauf des Stack-basierten Pufferspeichers basiert auf einem Problem
im RIST-Modul, welches nur in VLC 4.0 genutzt wird, und betrifft daher nicht
die tatsächlichen Releases von VLC.

Für die stabile Distribution Debian Stretch (9.9) steht ein
Sicherheitsupdate für das Paket ‘vlc’ in Form der Version 3.0.7-0+deb9u1
bereit.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1195]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html