Fragen? Antworten! Siehe auch: Alternativlos
Dem würde ich generell widersprechen wollen. Doch, ist es. Das ist genau die Nummer Eins Gefahr, die von der steigenden Komplexität ausgeht. Gerade bei vlc, wenn man das mal selber baut und startet, und mal die Shared Libraries zählt, die das Ding reinlutscht, dann ist völlig klar, dass das Risiko enorm zugenommen hat, bis hin zur offensichtlichen Nicht-Beherrschbarkeit. Klar, dafür hängt da auch die Funktionalität von ab. Will ich nicht bestreiten. Aber die Laxheit, mit der Leute fremde Libraries reinladen, und dann so tun, als sei das nicht ihr Problem, wenn die räudig sind, die ärgert mich schon lange.
Auf der andere Seite ist das Problem in libebml zu dem Zeitpunkt seit über einem Jahr bekannt und upstream gefixt gewesen, aber die Knödel von Ubuntu haben es verpeilt, den Fix auszuliefern. Insofern bin ich dann doch auf der Seite von VLC in dieser Sache, denn das Sicherheitsloch war in Ubuntu, nicht VLC.
Die Geschichte ging aber noch weiter. Die VLC-Leute berichten, dass der Fuzzy, der die Lücke gefunden hat, direkt ein CVE beantragt und bekommen hat, ohne dass jemand auf dem Weg es für nötig oder höflich gefunden hätte, bei VLC mal nachzufragen. Nicht nur das: Der CERT-Bund, immerhin eine Regierungsorganisation Deutschlands, hat ein Advisory veröffentlicht, auch ohne bei VLC mal nachzufragen.
Da wird die Sache jetzt ein bisschen weniger klar. Denn VLC betreibt einen offenen Bugtracker, aber möchte gerne Security-Sachen per Mail vorab gemeldet kriegen, damit die mit Priorität bearbeitet werden können. Das will ich mal der Klarheit halber umformulieren: VLC hat einen Bugtracker, den sie als sedimentäre Datenhalde betreiben, und wo sie längst die Kontrolle über die Flut an Bugs verloren haben, daher haben sie eine Parallelgesellschaft in Form von einem Security-Bug-Mailverteiler geschaffen. Das, meine lieben VLC-Leute, habe ihr euch vollumfänglich selbst zuzuschreiben. Euer Bugtracker ist öffentlich, und das ist gut so. Dort hatte der Bug-Finder einen Bug aufgemacht. Den habt ihr mit den anderen Bugs in der ewigen Buglavine verpennt. Als Reporter ist es völlig OK, VLC nicht "Bescheid" zu sagen, wenn es einen offenen Bugtracker gibt. Denn dafür gibt es den. Und dafür ist der offen. Damit man sich dort über Bugs informieren kann. Dass ihr jetzt von der Presse verlangt, dass sie die Kosten für euer verkacktes Bugtracking trägt, ist absurd. DAS habt ihr euch echt selbst zuzuschreiben.
Und jetzt hört auf zu heulen, fixt eure Bugs, und haltet die andere Wange hin. Mit eurem Fake-News-Geschreie macht ihr die Sache nur noch schlechter.