web-dev-qa-db-fra.com

Comment mettre à jour libavcodec sur Ubuntu 14.04: vulnérabilité associée

Le correctif de l'erreur dans Firefox montrant que libavcodec pourrait être vulnérable est contenu dans le texte suivant lien , mais la vulnérabilité mentionnée dans la notification n'est pas décrite de manière précise.

enter image description here

La notification de libavcodec affichée par Firefox n’a aucun sens si la vulnérabilité signalée n’existe peut-être même pas, car libavcodec n’est pas installé. Si la vulnérabilité libavcodec n'existe pas, la notification peut conseiller d'installer une version prise en charge de libavcodec, mais même dans ce cas, elle n'explique pas pourquoi elle devrait être installée.

Quelle vulnérabilité la notification de Firefox rapporte-t-elle? Comment installer un paquet libavcodec qui n’était pas déjà installé à partir d’un PPA équivaut-il à réparer une vulnérabilité dans libavcodec et n’équivaut-il pas à mettre la charrue avant les boeufs?

5
sassy.geek

Pour être clair, le message est en réalité:

libavcodec peut être vulnérable ou n'est pas pris en charge

Selon la version de libavcodec que vous possédez, il se peut que certaines vulnérabilités ne soient pas corrigées, ou bien simplement qu'il soit suffisamment vieux pour être incompatible avec Firefox (et peut-être aussi vulnérable ...)

Firefox est en train de vérifier la version de libavcodec que vous avez installée, cherche certaines versions et affiche le message si vous avez une version trop ancienne. Plus précisément, récemment :

Versions bloquées de libavcodec antérieures à 54.35.1

(Je suppose qu'à l'avenir, comme le message l'indique, ils pourraient bien mettre des versions récentes de la liste noire s'ils ne disposent pas de correctifs de sécurité. Quoi qu'il en soit, ici, ils ont juste opté pour des versions d'un certain âge.)

Pour revenir à votre question, si vous installez une version plus récente à partir d'un PPA (libavcodec56 de la réponse liée), alors Firefox verra cette version plus récente installée et utilisera ce version pour le décodage des supports, et non l'ancienne libavcodec54. (Notez que les fichiers de ce paquet ont le numéro de version dans le nom du fichier, vous pourriez donc en avoir les versions les plus récentes et les plus anciennes installées côte à côte.) [1]

L'installation d'une nouvelle libavcodec ne résoudra donc pas comme par magie les vulnérabilités de votre version installée existante - bien entendu, cela persistera jusqu'à ce que vous les supprimiez - mais cela signifie Firefox peut utiliser une version de la bibliothèque non vulnérable (ce qui intéresse les développeurs de Firefox).

[1]: De plus, en regardant mon installation de 16.04, libavcodec-ffmpeg.so.56 est en fait un lien symbolique vers un fichier particulier. C’est donc un autre moyen d’installer plusieurs versions côte à côte, même les même version majeure de libavcodec, mais une seule est spécifiquement utilisée.

3
Steven Maude

libavcodec a été mis à jour dans Ubuntu 14.04.

Une mise à jour de libav-tools, libavcodec-extra et libavcodec-extra-54 dans Ubuntu 14.04 a résolu ce problème. La notification libavcodec may be vulnerable or is not supported, and should be updated to play video n'apparaît plus après la mise à jour du système avec Software Updater.

2
karel

À cause de ce problème, je suis passé à Lubuntu 16.04. Même s'il semble y avoir une amélioration, au moins sur mon système, il ne faut que deux ou trois lectures de vidéos sur (disons) Youtube pour que le problème réapparaisse.

Si quelqu'un dispose d'un correctif permanent, je serais intéressé de le savoir, mais après avoir suivi les instructions données sur des forums de ce type, sans rien obtenir de permanent, je ne serais pas surpris qu'il n'y ait pas une telle solution.

Soyons clairs: ce n'est pas le problème a(n) Ubuntu/Kubuntu/Xubuntu/Lubuntu: il s'agit clairement d'un problème initié par Mozilla, car ils ont pris une décision arbitraire de bloquer certains codecs. Pourtant - même avec libavcodec-extra-56 installé - ma machine n’a pas de solution à ce problème.

Q- quelle est la différence entre un ingénieur et un développeur?

A- un ingénieur sait quand s'arrêter!

ETA: Après avoir passé à L16.04, je suis allé sur Synaptic et j'ai vérifié l'état de ffmpeg. La recherche a montré que libav-tools avait besoin d'une mise à jour séparément. Est-ce que et jusqu'à présent, le problème de lecture a disparu. Il semble que la meilleure solution consiste simplement à mettre à niveau vers 16.04, puis à effectuer des mises à niveau dans Synaptic, à les installer, puis à continuer.

J'espère que cela est utile à au moins un autre.

ETAM: Eh bien, il semble vraiment qu'il y ait un dieu ou un autre furtif ici dans ce cartel Mozilla-Youtube et en train de lire mes modifications - car immédiatement après la publication de cette modification, le problème est revenu.

On dirait que Mozilla déteste tout ce qui concerne Ubuntu, il se peut donc que je sois obligé de transférer celui-ci vers une autre distribution à laquelle Mozilla a pris un goût arbitraire.

1
David Andrews