VLC dans le référentiel 18.04 n'est-il pas sécurisé?

Après avoir tapé l'approche générale: tous les bogues pour VLC sont répertoriés comme "maintenus par la communauté", et la plupart sont "orange" et "nécessite un triage", il n'y a donc pas de solution (pour le moment). Les liens dans la suite de cette réponse expliqueront ceux-ci.

Approche générale pour toute question liée à la sécurité.

Ubuntu utilise un site Web pour suivre les problèmes liés aux vulnérabilités et expositions courantes (CVE). Pour VLC, vous pouvez le trouver ici . Liste actuelle (et faites attention au commentaire "supporté par la communauté" puisque Canonical ne gère pas VLC).

• TOUS les numéros de 18.04 sont répertoriés comme "tri par nécessité".
• Les codes de couleur sont expliqués ici (La plupart sont "orange": cette vulnérabilité est un réel problème de sécurité, qui peut être exploitée par de nombreuses personnes. Comprend les attaques par déni de service des démons de réseau, les scripts intersite et les gains. privilèges d’utilisateur. Des mises à jour devraient être effectuées bientôt pour cette priorité de publication.)

C'est de notre côté.

Vous pouvez rechercher plus d'informations sur chaque CVE avec ce site . Recherchez avec le numéro CVE associé au problème qui vous préoccupe. Ensuite, vous pouvez surveiller l'évolution de ce problème.

En ce qui concerne VLC: la mise à jour arrivera dans Ubuntu dès que quelqu'un proposera un correctif et que ce correctif est suffisamment testé et testé. Elles sont toutes liées à la sécurité, elles seront donc ajoutées à Ubuntu tant que la version que vous utilisez est prise en charge.

En ce qui concerne VLC 3.0.3: pour de tels logiciels, vous pouvez envisager d’installer la version à partir de ceux-ci et non à partir du centre logiciel Ubuntu. C’est un moyen d’éliminer le temps nécessaire pour obtenir des mises à jour de nos systèmes. Mais cela signifie aussi une approche un peu plus risquée.

Je pense que la clé pour comprendre ce qui est ici dans une perspective plus large est que le paquet vlc ne soit pas dans Ubuntu main mais Ubuntu universe .

Pour citer leur description de universe (soulignement ajouté):

Le composant univers est un instantané du monde libre, open source et Linux. Il contient presque tous les logiciels à code source ouvert, tous construits à partir de sources publiques diverses. Canonical ne garantit pas la disponibilité de mises à jour de sécurité régulières pour les logiciels du composant univers , mais les fournira là où elles sont mises à disposition par la communauté. Les utilisateurs doivent comprendre les risques inhérents à l'utilisation de ces packages. Des logiciels populaires ou bien pris en charge passeront d’un univers à l’autre s'ils sont appuyés par des responsables souhaitant respecter les normes définies par l’équipe Ubuntu.

En gros, il peut y avoir ou non une mise à jour. Comme l'indique la description ci-dessus, universe est un instantané (essentiellement un instantané de Debian instable au moment de la publication de Ubuntu) et n'est pas vraiment maintenu comme prévu.
Personnellement, je vous conseillerais de mettre en garde l'activation du référentiel universe car il peut être difficile de garder trace du logiciel installé qui devrait obtenir des mises à jour et de ce qui ne l'est pas.