Nachfrage bei VideoLan wegen SA51464

Es ist schon seltsam. Gerade heute habe ich im VideoLan-Forum mit Jean-Baptiste Kempf diskutiert. Dabei habe ich ihm eine Idee von E.Jeppesen (Secunia) präsentiert, im Sicherheitscenter der VLC-Website zu bestätigen, dass SA51464 geschlossen wurde. Seit seiner unverständlichen Reaktion http://forum.videolan.org/viewtopic.php?f=14&t=107434 kann ich das Forum nicht mehr betreten.....

 

Update
.. inzwischen klappts mit dem Forum wieder. War wohl nur eine Blockade.

 

Nachdem ich nun eine Woche lang im videolan-Forum vergeblich versucht habe, eine offizielle Bestätigung zu erhalten / finden, dass SA51464 (Secunia) gefixed wurde, bin ich gleichermaßen enttäuscht als auch verärgert.

Enttäuscht bin ich darüber, dass sich offenbar niemand bei videolan verantwortlich fühlt dafür, dass (ob) die in SA51464 beschriebene Schwachstelle beseitigt wurde.

Verärgert bin ich, weil weder Jean-Baptist Kemp noch Remi Denis-Courmont bereit sind, zusammen mit Secunia die Verunsicherungen bzgl SA51464 zu beheben. Sie lehnen jegliche Kommunikation mit Secuna ab. Beide betonen nur ihre Ablehnung gegenüber Secunia und begründen dies mit den Fehlen einer CVE-ID. Nachzulesen hier: http://forum.videolan.org/viewtopic.php?f=14&t=107434

Dabei wäre es vielleicht so einfach. Denn am 19.12.2012 wurde veröffenlicht, dass für SA51464 irrtümlich VLC verantwortlich gemacht wurde! Siehe: http://permalink.gmane.org/gmane.os.netbsd.devel.pkgsrc.cvs/183041

Auch wenn videolan nicht direkt verantwortlich für die Schwachstelle ist sondern die ffmpeg-Bibliothek, so ist vlc doch ein Produkt von videolan, das die ffmpeg nutzt! Und deshalb kann sich videolan nicht auch nicht auf eine simple Mitteilung von Jean-Baptist Kemp berufen.

Im o.g. videolan-Threat behauptet J.-B. Kemp in seiner ersten Antwort übrigens, dass SA51464 sich NICHT auf das plugin bezieht sondern auf den 'normalen' VLC. Was stimmt denn nun: die Aussage im Forum oder die Aussage auf die Anfrage der PC-Welt?

Bis heute findet sich im Sicherheitscenter von VLC (http://www.videolan.org/security/ ) kein Hinweis, dass SA51464 gefixed wurde,

Ergo: solange die hier http://secunia.com/advisories/51464/ beschriebene Schwachstelle nicht offiziell geschlossen wurde (durch wen auch immer), darf doch nicht behauptet werden, die Welt sei wieder im Reinen!

 

Ähm Klaus mit wem sprichst du?
Hier ist nicht das Video Lan Forum.

 

gelehrt

 

Das habe ich nicht übersehen.

Wie du am Titel meines Beitrags erkennen kannst, beziehe ich mich auf den Inhalt des Artikels 'Schwachstellen in VLC Player' von Frank Ziemann ...

Vielleicht kann ja Herr Ziemann nochmal bei Videolan nachfragen...