ALT-BU-2019-3878-1
Branch sisyphus update bulletin.
Closed bugs
При включенном EFI Secure Boot система не загружается автоматом по таймауту
Closed vulnerabilities
BDU:2019-02879
Уязвимость функции MP4_EIA608_Convert() (modules/demux/mp4/mp4.c) медиаплеера VideoLAN Media Player, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2019-03633
Уязвимость функции SeekIndex() программы-медиапроигрывателя VideoLAN VLC, позволяющая нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании
BDU:2019-03634
Уязвимость функции DemuxInit() программы-медиапроигрывателя VideoLAN VLC, позволяющая нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании
BDU:2019-03635
Уязвимость компонента demux/mkv/mkv.cpp программы-медиапроигрывателя VideoLAN VLC, позволяющая нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании
BDU:2019-03636
Уязвимость функции mkv::virtual_segment_c::seek() программы-медиапроигрывателя VideoLAN VLC, позволяющая нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании
BDU:2019-03637
Уязвимость функции mkv::event_thread_t() программы-медиапроигрывателя VideoLAN VLC, позволяющая нарушителю оказать воздействие на целостность данных, получить несанкционированный доступ к защищаемой информации, а также вызвать отказ в обслуживании
BDU:2020-01492
Уязвимость функции xiph_SplitHeaders программы-медиапроигрывателя VideoLAN VLC, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2020-01494
Уязвимость функции xiph_PackHeaders() программы-медиапроигрывателя VideoLAN VLC, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2020-01496
Уязвимость компонента demux/caf.c программы-медиапроигрывателя VideoLAN VLC, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2020-01497
Уязвимость компонента demux/asf/asf.c программы-медиапроигрывателя VideoLAN VLC , позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2020-01499
Уязвимость функции SeekPercent (demux/asf/asf.c) программы-медиапроигрывателя VideoLAN VLC, позволяющая нарушителю вызвать отказ в обслуживании
Modified: 2024-11-21
CVE-2019-13602
An Integer Underflow in MP4_EIA608_Convert() in modules/demux/mp4/mp4.c in VideoLAN VLC media player through 3.0.7.1 allows remote attackers to cause a denial of service (heap-based buffer overflow and crash) or possibly have unspecified other impact via a crafted .mp4 file.
- openSUSE-SU-2019:1840
- openSUSE-SU-2019:1840
- openSUSE-SU-2019:1897
- openSUSE-SU-2019:1897
- openSUSE-SU-2019:1909
- openSUSE-SU-2019:1909
- openSUSE-SU-2019:2015
- openSUSE-SU-2019:2015
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 109158
- 109158
- https://git.videolan.org/?p=vlc.git%3Ba=commit%3Bh=8e8e0d72447f8378244f5b4a3dcde036dbeb1491
- https://git.videolan.org/?p=vlc.git%3Ba=commit%3Bh=8e8e0d72447f8378244f5b4a3dcde036dbeb1491
- https://git.videolan.org/?p=vlc.git%3Ba=commit%3Bh=b2b157076d9e94df34502dd8df0787deb940e938
- https://git.videolan.org/?p=vlc.git%3Ba=commit%3Bh=b2b157076d9e94df34502dd8df0787deb940e938
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4074-1
- USN-4074-1
- DSA-4504
- DSA-4504
Modified: 2024-11-21
CVE-2019-14437
The xiph_SplitHeaders function in modules/demux/xiph.h in VideoLAN VLC media player 3.0.7.1 does not check array bounds properly. As a result, a heap-based buffer over-read can be triggered via a crafted .ogg file.
- http://git.videolan.org/?p=vlc.git&a=search&h=refs%2Fheads%2Fmaster&st=commit&s=cve-2019
- http://git.videolan.org/?p=vlc.git&a=search&h=refs%2Fheads%2Fmaster&st=commit&s=cve-2019
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4131-1
- USN-4131-1
- DSA-4504
- DSA-4504
- https://www.videolan.org/security/sb-vlc308.html
- https://www.videolan.org/security/sb-vlc308.html
Modified: 2024-11-21
CVE-2019-14438
A heap-based buffer over-read in xiph_PackHeaders() in modules/demux/xiph.h in VideoLAN VLC media player 3.0.7.1 allows remote attackers to trigger a heap-based buffer over-read via a crafted .ogg file.
- http://git.videolan.org/?p=vlc.git&a=search&h=refs%2Fheads%2Fmaster&st=commit&s=cve-2019
- http://git.videolan.org/?p=vlc.git&a=search&h=refs%2Fheads%2Fmaster&st=commit&s=cve-2019
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4131-1
- USN-4131-1
- DSA-4504
- DSA-4504
- https://www.videolan.org/security/sb-vlc308.html
- https://www.videolan.org/security/sb-vlc308.html
Modified: 2024-11-21
CVE-2019-14498
A divide-by-zero error exists in the Control function of demux/caf.c in VideoLAN VLC media player 3.0.7.1. As a result, an FPE can be triggered via a crafted CAF file.
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4131-1
- USN-4131-1
- DSA-4504
- DSA-4504
- https://www.videolan.org/security/sb-vlc308.html
- https://www.videolan.org/security/sb-vlc308.html
Modified: 2024-11-21
CVE-2019-14533
The Control function of demux/asf/asf.c in VideoLAN VLC media player 3.0.7.1 has a use-after-free.
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4131-1
- USN-4131-1
- DSA-4504
- DSA-4504
- https://www.videolan.org/security/sb-vlc308.html
- https://www.videolan.org/security/sb-vlc308.html
Modified: 2024-11-21
CVE-2019-14534
In VideoLAN VLC media player 3.0.7.1, there is a NULL pointer dereference at the function SeekPercent of demux/asf/asf.c that will lead to a denial of service attack.
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4131-1
- USN-4131-1
- DSA-4504
- DSA-4504
- https://www.videolan.org/security/sb-vlc308.html
- https://www.videolan.org/security/sb-vlc308.html
Modified: 2024-11-21
CVE-2019-14535
A divide-by-zero error exists in the SeekIndex function of demux/asf/asf.c in VideoLAN VLC media player 3.0.7.1. As a result, an FPE can be triggered via a crafted WMV file.
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4131-1
- USN-4131-1
- DSA-4504
- DSA-4504
- https://www.videolan.org/security/sb-vlc308.html
- https://www.videolan.org/security/sb-vlc308.html
Modified: 2024-11-21
CVE-2019-14776
A heap-based buffer over-read exists in DemuxInit() in demux/asf/asf.c in VideoLAN VLC media player 3.0.7.1 via a crafted .mkv file.
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4131-1
- USN-4131-1
- DSA-4504
- DSA-4504
- https://www.videolan.org/security/sb-vlc308.html
- https://www.videolan.org/security/sb-vlc308.html
Modified: 2024-11-21
CVE-2019-14777
The Control function of demux/mkv/mkv.cpp in VideoLAN VLC media player 3.0.7.1 has a use-after-free.
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4131-1
- USN-4131-1
- DSA-4504
- DSA-4504
- https://www.videolan.org/security/sb-vlc308.html
- https://www.videolan.org/security/sb-vlc308.html
Modified: 2024-11-21
CVE-2019-14778
The mkv::virtual_segment_c::seek method of demux/mkv/virtual_segment.cpp in VideoLAN VLC media player 3.0.7.1 has a use-after-free.
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4131-1
- USN-4131-1
- DSA-4504
- DSA-4504
- https://www.videolan.org/security/sb-vlc308.html
- https://www.videolan.org/security/sb-vlc308.html
Modified: 2024-11-21
CVE-2019-14970
A vulnerability in mkv::event_thread_t in VideoLAN VLC media player 3.0.7.1 allows remote attackers to trigger a heap-based buffer overflow via a crafted .mkv file.
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- http://git.videolan.org/?p=vlc.git&a=search&h=refs/heads/master&st=commit&s=cve-2019
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0545
- openSUSE-SU-2020:0562
- openSUSE-SU-2020:0562
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- 20190821 [SECURITY] [DSA 4504-1] vlc security update
- GLSA-201909-02
- GLSA-201909-02
- USN-4131-1
- USN-4131-1
- DSA-4504
- DSA-4504
- https://www.videolan.org/security/sb-vlc308.html
- https://www.videolan.org/security/sb-vlc308.html
Package firefox-esr updated to version 68.0.2-alt1 for branch sisyphus in task 236090.
Closed vulnerabilities
Modified: 2024-11-21
CVE-2019-11733
When a master password is set, it is required to be entered again before stored passwords can be accessed in the 'Saved Logins' dialog. It was found that locally stored passwords can be copied to the clipboard thorough the 'copy password' context menu item without re-entering the master password if the master password had been previously entered in the same session, allowing for potential theft of stored passwords. This vulnerability affects Firefox < 68.0.2 and Firefox ESR < 68.0.2.
- openSUSE-SU-2019:2251
- openSUSE-SU-2019:2251
- openSUSE-SU-2019:2260
- openSUSE-SU-2019:2260
- https://bugzilla.mozilla.org/show_bug.cgi?id=1565780
- https://bugzilla.mozilla.org/show_bug.cgi?id=1565780
- https://www.mozilla.org/security/advisories/mfsa2019-24/
- https://www.mozilla.org/security/advisories/mfsa2019-24/
Package qbittorrent updated to version 4.1.7-alt1.1 for branch sisyphus in task 236158.
Closed vulnerabilities
BDU:2020-02037
Уязвимость функции Application::runExternalProgram() located (app/application.cpp) кросс-платформенный BitTorrent клиента qBittorrent, связанная с недостатками принятых мер по чистке данных на управляющем уровне, позволяющая нарушителю получить несанкционированный доступ к конфиденциальным данным, вызвать отказ в обслуживании или оказать воздействие на целостность данных
Modified: 2024-11-21
CVE-2019-13640
In qBittorrent before 4.1.7, the function Application::runExternalProgram() located in app/application.cpp allows command injection via shell metacharacters in the torrent name parameter or current tracker parameter, as demonstrated by remote command execution via a crafted name within an RSS feed.
- openSUSE-SU-2019:2005
- openSUSE-SU-2019:2005
- openSUSE-SU-2019:2024
- openSUSE-SU-2019:2024
- http://www.openwall.com/lists/oss-security/2024/10/30/4
- https://github.com/qbittorrent/qBittorrent/issues/10925
- https://github.com/qbittorrent/qBittorrent/issues/10925
- FEDORA-2019-ce6c6de3cc
- FEDORA-2019-ce6c6de3cc
- FEDORA-2019-2cb551904b
- FEDORA-2019-2cb551904b
- DSA-4650
- DSA-4650