<div dir="ltr">Hi<br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Sep 27, 2016 at 7:54 PM, James Cowgill <span dir="ltr"><<a href="mailto:jcowgill@debian.org" target="_blank">jcowgill@debian.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> We discovered a serious security vulnerability in libavcodec 54 and earlier. Only libavcodec from LibAV is impacted.#<br>
<br>
What is the security vulnerability you are referring to? Does it have a<br>
CVE ID?<br></blockquote><div><br></div><div>I do not believe that it does... I will inquire about it.<br> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span class="gmail-"><br>
> We have submitted fixes for libavcodec 54 to the LibAV team which have been accepted. They have also agreed to bump the micro version making the first version with no vulnerability version 54.35.1<br>
> <a href="https://git.libav.org/?p=libav.git;a=shortlog;h=refs/heads/release/9" rel="noreferrer" target="_blank">https://git.libav.org/?p=<wbr>libav.git;a=shortlog;h=refs/<wbr>heads/release/9</a><br>
><br>
> libavcodec 53 is also impacted, however we have no solution for this.<br>
<br>
</span>This is a problem as Debian does not ship libavcodec 54. The versions<br>
from version.h we currently have are:<br>
<br>
Wheezy:  libavcodec 53.35.0<br>
Jessie:  libavcodec 56.1.0 (not affected)<br>
Stretch: libavcodec 57.48.101 (not affected, from ffmpeg)<br>
<span class="gmail-"><br>
> As a result, we have blacklisted libavcodec with a version earlier than 54.35.1.<br>
<br>
</span>We can't upgrade libavcodec 53 in Wheezy to libavcodec 54 because that<br>
would break everything (ABI bump). Hypothetically, would it be possible<br>
to allow a version like "53.35.1" which also fixes the vulnerability?<br>
This would require some coordination with upstream.<br></blockquote><div><br></div><div>libavcodec 53 is impacted in an entirely different manner than libavcodec 54. The fix for 54 was to backport key changes from 55. That approach will not work with 53.<br><br></div><div>There's also the matter that none from LibAV was willing to help on the matter. They have stopped supporting 54 over 3 years ago and appeared very annoyed that it had been added to a LTS release. It came down to:" why should we help when no-one is willing to pay for our support"<br></div><div>This is why we had to do the work ourselves for 54. They reluctantly accepted to merge our changes in their tree and made it clear that they would provide no support for it.<br><br></div><div>I can only imagine that the situation for 53 will be even worse.<br></div><div>Now, having said that, due to how 53 is failing for this particular issue, I believe the fix will likely be easier..<br><br></div><div>The fact remain that libavcodec 53 is super old. <br></div><div>How likely would user still on Wheezy be using it? I can imagine that on servers and so on<br><br></div><div>So that beg the question.. does it matter? At a guess it's not impacting those users.<br><br></div><div>Ubuntu 12.04 is also impacted.<br><br></div><div>Jean-Yves<br></div></div></div></div>