[gelöst] gefährlicher Bug in ffmpeg?

[Quirrlila]

Hallo :)

Code: Alles auswählen

apt install ffmpeg
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Vorgeschlagene Pakete:
  ffmpeg-doc
Die folgenden NEUEN Pakete werden installiert:
  ffmpeg
0 aktualisiert, 1 neu installiert, 0 zu entfernen und 1 nicht aktualisiert.
Es müssen 1.529 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 2.184 kB Plattenplatz zusätzlich benutzt.
Holen:1 https://ftp.de.debian.org/debian stable/main amd64 ffmpeg amd64 7:3.2.5-1 [1.529 kB]
Es wurden 1.529 kB in 4 s geholt (320 kB/s).
Laden der Fehlerberichte … Erledigt
»Found/Fixed«-Informationen werden ausgewertet … Erledigt
grave Fehler von ffmpeg (→ 7:3.2.5-1) <Ausstehend>
 b1 - #872517 - ffmpeg: CVE-2017-7206: heap-based buffer over-read in embed libav
Zusammenfassung:
 ffmpeg(1 Fehler)
Sind Sie sicher, dass Sie die oben genannten Pakete installieren bzw. ein Upgrade von ihnen durchführen wollen? [Y/n/?/...]

Das ist dieses Käferchen hier:
872517

Kann ich ffmpeg dennoch bedenkenlos installieren?

[CH777]

Ja,kannst du.

[Quirrlila]

Ja,kannst du.

ok danke dir =)

[scientific]

"Glaube niemals ungeprüft, was irgendwo jemand im Internet gepostet hat" -- Albert J. Einstein (1923)

[Quirrlila]

"Glaube niemals ungeprüft, was irgendwo jemand im Internet gepostet hat" -- Albert J. Einstein (1923)

Wäre nett von dir oder auch anderen Nutzer/n/innen hier, dass wenn ein/e Nutzer*In eine/n andere/n verarscht, also asozial ist (was ich CH777 hiermit nicht unstelle), das aufzuklären anstatt irgendwelche vagen Sprüche rauszukloppen...

Ist der Programmfehler nun gefährlich oder nicht?

[Lord_Carlos]

The libav fork in ffmpeg include serveral fixes that, most probably, made
ffmpeg not affected by this issue.

Es scheint ja garkein bug in ffmpeg zu geben.

Bearbeitest du Videomaterial das du von Dritten bekommst?

[Quirrlila]

The libav fork in ffmpeg include serveral fixes that, most probably, made
ffmpeg not affected by this issue.

Es scheint ja garkein bug in ffmpeg zu geben.

Bearbeitest du Videomaterial das du von Dritten bekommst?

Hallo Lord_Carlos,
also youtube-Videos und z.B. Videos von Nachrichten Sendungen (tagesschau usw.).

[Lord_Carlos]

Ich wuerde ffmpeg weiter benutzten.
A weil es kein bug gibt und b weil ich nicht glaube das tageschau.de mich angreifen will.

[Quirrlila]

Ich wuerde ffmpeg weiter benutzten.
A weil es kein bug gibt und b weil ich nicht glaube das tageschau.de mich angreifen will.

Es gibt keinen Bug? Warum zeigt apt dann diese Meldung?
tageschau.de evtl. nicht aber gugell (youtube)...naja ich bin ahnungslos und muss das wohl so hinnehmen...

[Lord_Carlos]

Siehe mein Zitat weiter Oben. In ffmpeg scheint es kein bug zu geben.

Warum sollte google, jetzt nachdem der bug oeffentlich ist, manipulierte Videodaten versenden?

[scientific]

"Glaube niemals ungeprüft, was irgendwo jemand im Internet gepostet hat" -- Albert J. Einstein (1923)

Wäre nett von dir oder auch anderen Nutzer/n/innen hier, dass wenn ein/e Nutzer*In eine/n andere/n verarscht, also asozial ist (was ich CH777 hiermit nicht unstelle), das aufzuklären anstatt irgendwelche vagen Sprüche rauszukloppen...

Ist der Programmfehler nun gefährlich oder nicht?

A: Ich habe gelesen, das ist gefährlich. Ich benutze es nicht mehr.

B: Das ist nicht gefährlich

C: Achso. Dann benutze ich es doch.


Sorry... Das schreit danach. Ungeprüft, eigenmeinungsfrei irgendwas von irgendwelchen anderen zu übernehmen... Das man irgendwo gelesen hat...

Und dann wäre ich asozial...

Ich habe mich aus Facebook verabschiedet, weil die Dichte an Menschen, die so jeden Mist, jede Lüge, jede Hassrede ungeprüft rausposaunen geradezu unerträglich hoch ist... Oder man es zumindet einfach mitkriegt.

Aber ich bin asozial... Aha.

Selber lesen und das Gelesene prüfen und interpretieren lernen ist wohl keine Kulturtechnik mehr, die wert erscheint, sie sich anzueignen...

[Dogge]

Naja, nicht jeder ist in der Lage den Quellcode zu lesen und zu entscheiden ob da eine Sicherheitslücke vorhanden ist oder nicht, deshalb muss man halt seinem Distributor vertrauen.

https://security-tracker.debian.org/tra ... -2017-7206
Hier siehst du eine Auflistung welche Versionen in den Debian Releases betroffen sind.

[scientific]

Ja klar.

Aber ich habe $IRGENDWO gelesen, dass... Huhu ich fürcht mich.
Muss ich mich wirklich fürchten?

Und $IRGENDWER antwortet mit einem schlichten "nein", und dann fürchtet man sich nicht mehr...

Naja...

Das provozierte mich zu meinem gefälschte und unterstellten Zitat.
Und ich bin sicher, es gibt Menschen, die schenken dem sogar Glauben und verbreiten es ungeprüft als "wahres Zitat" weiter. Schließlich stands ja im Internet...

[Quirrlila]

"Glaube niemals ungeprüft, was irgendwo jemand im Internet gepostet hat" -- Albert J. Einstein (1923)

Wäre nett von dir oder auch anderen Nutzer/n/innen hier, dass wenn ein/e Nutzer*In eine/n andere/n verarscht, also asozial ist (was ich CH777 hiermit nicht unstelle), das aufzuklären anstatt irgendwelche vagen Sprüche rauszukloppen...

Aber ich bin asozial... Aha.

Du interpretierst meinen obigen Satz als Angriff gegen dich, was darauf schließen lässt, dass du ihn nicht aufmerksam gelesen hast, is' schon lustig, dass du dann weiter schreibst:

Selber lesen und das Gelesene prüfen und interpretieren lernen ist wohl keine Kulturtechnik mehr, die wert erscheint, sie sich anzueignen...

Ich habe weder dich noch CH777 angegriffen.
Die Person ist asozial, welche andere verarscht, sei es nun aufgrund eines Ungleichgewichtes an Wissen über ein bestimmtes Thema oder sonstwie.
Das steht da und sonst nichts und wenn du da was anderes liest hast du eben interpretiert, anstatt die sachliche Aussage so zu belassen wie ich sie getroffen habe.

Also: Es ist alles gut scientific!

Naja, nicht jeder ist in der Lage den Quellcode zu lesen und zu entscheiden ob da eine Sicherheitslücke vorhanden ist oder nicht, deshalb muss man halt seinem Distributor vertrauen.

Genau so sieht es aus.
Danke für deine Wortmeldung Dogge.

[Quirrlila]

Aber ich habe $IRGENDWO gelesen, dass... Huhu ich fürcht mich.
Muss ich mich wirklich fürchten?

Und $IRGENDWER antwortet mit einem schlichten "nein", und dann fürchtet man sich nicht mehr...

1. Die Fehlerberichte des Paketverwaltungssystems apt und der Debian Bug-Report ist nicht $IRGENDWO.
2. Ich fragte eben nicht $IRGENDWEN, sondern die Community hier im Forum, wobei ich darauf baute, dass wenn mich jemand anlügen sollte, andere Mitglieder dies dann richtigstellen!

Ich verstehe dein Denken nicht....

[Quirrlila]

@Dogge
Danke übrigens für dein aufmerksam machen hierauf. :THY: :)

https://security-tracker.debian.org/tra ... -2017-7206
Hier siehst du eine Auflistung welche Versionen in den Debian Releases betroffen sind.