ffmpeg - Sicherheitswarnungen bei make

S

serie300

Well-Known Member
Hallo

ich habe heute versucht ein webm audio file in mp3 zu wandeln (mit youtube-dl). libLame nicht gedunden usf. Ok der mp3 ist bei ffmpeg nicht standardmäßig aktiviert. Dann habe ich in /usr/ports/.../ffmpeg make gemacht, mp3 aktiviert und dann bricht das make noch vor dem Bauen mit diversen Sicherheitswarnungen ab. Wie ernst sind die? Sollte ich statt ffmpeg was anderes nehmen?

Serie300
 
also, ich habe zu ffmpeg keine Alternative gesehen, weil ich in etlichen Scripts darauf gesetzt hatte. Ich werde das also dann irgendwann auch mal wieder bauen müssen und dann mit Sicherheitslücken leben. Es ist das einzige Tool, das ich noch aus den Ports baue und nur wegen dieser mp3-Lizenz-Geschichte.

Generell (also nicht auf die aktuellen Sicherheitshinweise bezogen), wird jemand die mp3-Unterstützung nicht unbedingt auf einem Server brauchen, der dauerhaft im Internet hängt. Fast alle Sicherheitswarnungen betreffen mögliche Attacken auf derartige Geräte. Wenn du einen Desktop-PC hinter den üblichen Schutzschichten betreibst, halte ich die üblichen Sicherheitslücken für beinahe vollkommen ungefährlich. Es genügt in meinen Augen schon ein relativ verschlossener Router, um die meisten möglichen Attacken zu verhindern.

Nun will ich aber auch nicht Schuld daran sein, dass du leichtfertig mit solchen Hinweisen umgehst und dann womöglich wegen meiner Einschätzung zu einem Opfer wirst. Was ich für mich wage, gilt noch lange nicht allgemein. Darauf weise ich ausdrücklich hin.
Die Sicherheitswarnungen enthalten in der Regel Hinweise auf weiterführende Information. Oft werden Links genannt, in denen das Problem exakt beschrieben wird. Im Zweifel sollte man sich die alle durchlesen und dann für sich selbst eine kompetente Entscheidung treffen.
 
Warum das mit der mp3 Unterstützung noch immer so kompliziert gehandhabt wird, erschließt sich mir nicht wirklich, denn das mp3 Patent des Fraunhofer Instituts ist abgelaufen und damit ist mp3 nicht mehr urheberechtlich geschützt. Die Verwendung von mp3 dürfte daher keine Lizenzprobleme mehr aufwerfen.
 
serie300 schrieb:
Dann habe ich in /usr/ports/.../ffmpeg make gemacht, mp3 aktiviert und dann bricht das make noch vor dem Bauen mit diversen Sicherheitswarnungen ab. Wie ernst sind die? Sollte ich statt ffmpeg was anderes nehmen?
Zum Vergrößern anklicken....
Kannst du die Warnungen mal kopieren? Es würde helfen sie zu sehen um etwas dazu sagen zu können. :)
 
Kannst Du mal Deine Befehlsfolge posten? Ich habe es gerade ausprobiert,
Code: 
ffmpeg -i "probe.webm" -vn -ab 128k -ar 44100 -y "probe.mp3"
funktioniert bei mir einwandfrei. Und zwar unter OpenBSD 6.1 mit einem normalen ffmpeg. Probier das doch mal aus.
 
Hallo,

bei meinem FreeBSD 10.3 ist der Lame Support definitiv via "make config; make" freizuschalten.
Hier die Ausgaben von make mit den vulnerabilities

---------------------------

# make
===> ffmpeg-2.3.6_6,1 has known vulnerabilities:
ffmpeg-2.3.6_6,1 is vulnerable:
ffmpeg -- remote denial of service in JPEG2000 decoder
CVE: CVE-2016-2213
WWW: https://vuxml.FreeBSD.org/freebsd/6ac79ed8-ccc2-11e5-932b-5404a68ad561.html

ffmpeg-2.3.6_6,1 is vulnerable:
ffmpeg -- heap overflow in lavf/mov.c
CVE: CVE-2017-5025
CVE: CVE-2017-5024
WWW: https://vuxml.FreeBSD.org/freebsd/7f9b696f-f11b-11e6-b50e-5404a68ad561.html

ffmpeg-2.3.6_6,1 is vulnerable:
ffmpeg -- remote attacker can access local files
CVE: CVE-2016-1898
CVE: CVE-2016-1897
WWW: https://vuxml.FreeBSD.org/freebsd/046fedd1-bd01-11e5-bbf4-5404a68ad561.html

ffmpeg-2.3.6_6,1 is vulnerable:
ffmpeg -- multiple vulnerabilities
CVE: CVE-2015-8663
CVE: CVE-2015-8662
WWW: https://vuxml.FreeBSD.org/freebsd/4bae544d-06a3-4352-938c-b3bcbca89298.html

ffmpeg-2.3.6_6,1 is vulnerable:
ffmpeg -- multiple vulnerabilities
CVE: CVE-2015-6826
CVE: CVE-2015-6825
CVE: CVE-2015-6824
CVE: CVE-2015-6823
CVE: CVE-2015-6822
CVE: CVE-2015-6821
CVE: CVE-2015-6820
CVE: CVE-2015-6819
CVE: CVE-2015-6818
WWW: https://vuxml.FreeBSD.org/freebsd/3d950687-b4c9-4a86-8478-c56743547af8.html

ffmpeg-2.3.6_6,1 is vulnerable:
ffmpeg -- multiple vulnerabilities
CVE: CVE-2015-8365
CVE: CVE-2015-8364
CVE: CVE-2015-8363
CVE: CVE-2015-8219
CVE: CVE-2015-8218
CVE: CVE-2015-8217
CVE: CVE-2015-8216
CVE: CVE-2015-6761
WWW: https://vuxml.FreeBSD.org/freebsd/b0da85af-21a3-4c15-a137-fe9e4bc86002.html

1 problem(s) in the installed packages found.
=> Please update your ports tree and try again.
=> Note: Vulnerable ports are marked as such even if there is no update available.
=> If you wish to ignore this vulnerability rebuild with 'make DISABLE_VULNERABILITIES=yes'
*** Error code 1

Stop.
make[1]: stopped in /usr/ports/multimedia/ffmpeg
*** Error code 1

Stop.
make: stopped in /usr/ports/multimedia/ffmpeg
#
-------------------------------------------

Ich gehe mal davon aus, daß ich den make mit "make DISABLE_VULNERABILITIES=yes" dann hinbekomme.

Was mir Sorgen macht, daß ffmpeg ja von einigen Programmen mit seinen "Unzuverlässigkeiten" genutzt wird ...

Serie300
 
Hallo

ok habe ports hochgezogen (portsnap) und make gestartet. Und nach ein paar Packerl Unstimmigkeiten (UnterUnterversion _11 einer Bibliothek hat sicher ganz neue Features gegenüber _10 ist der make durchgelaufen. Eigentlich beeindruckend bei dem ganzen Zeug was da gemacht wurde,

Danke für den Hinweis auf das Akutalisieren der Ports (vergisst man, wenn man jahrelang mit pkg klarkommt)
Serie300
 
serie300 schrieb:
(vergisst man, wenn man jahrelang mit pkg klarkommt)
Zum Vergrößern anklicken....
Ein kleiner Hinweis: Wenn du PKG und die Ports mischt, solltest du darauf achten, immer den gleichen Branch zu verwendest. Das kann dir Ärger ersparen. PKG verwendet nie den Branch Head sondern immer den aktuellen Quartals-Branch. Dieser ist im Moment noch 2017Q3.
 
Ja habe ich auch gerade unter FreeBSD 11.1 gemerkt. Binärpaket ffmpeg und lame aus aktualisierten Ports funktioniert nicht. Egal, ich benutze das Binärpaket ffmeg und konvertiere in das ogg Format.;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben