Bug 14248

Summary:	[CVE 21] yt-dlp CVE
Product:	[ROSA-based products] ROSA Fresh	Reporter:	Vladimir Potapov <v.potapov>
Component:	Packages from Main	Assignee:	ROSA Linux Bugs <bugs>
Status:	VERIFIED FIXED	QA Contact:	ROSA Linux Bugs <bugs>
Severity:	normal
Priority:	Normal	CC:	a.proklov, victorr2007
Version:	All	Flags:	v.potapov: qa_verified+ v.potapov: secteam_verified? a.proklov: published+
Target Milestone:	---
Hardware:	All
OS:	Linux
URL:	CVE-2023-46121
Whiteboard:
Platform:	---	ROSA Vulnerability identifier:
RPM Package:		ISO-related:
Bad POT generating:		Upstream:

Description Vladimir Potapov 2024-01-12 17:18:33 MSK

https://nvd.nist.gov/vuln/detail/CVE-2023-46121

Comment 1 Vladimir Potapov 2024-01-12 17:19:02 MSK

MEDIUM

Comment 2 VictorR2007 2024-01-15 13:40:52 MSK

Нужно обновлять.
Патч не подходит для этой версии.

Comment 3 VictorR2007 2024-01-15 13:41:23 MSK

https://abf.rosalinux.ru/build_lists/4955746

Comment 4 VictorR2007 2024-01-15 15:01:17 MSK

Володя, так как?
Обновляю?

Comment 5 Vladimir Potapov 2024-01-15 15:02:53 MSK

(In reply to VictorR2007 from comment #4)
> Володя, так как?
> Обновляю?
да, если будет работать (какие-то сложности с последней версией были)

Comment 6 VictorR2007 2024-01-15 17:57:39 MSK

(In reply to Vladimir Potapov from comment #5)
> (In reply to VictorR2007 from comment #4)
> > Володя, так как?
> > Обновляю?
> да, если будет работать (какие-то сложности с последней версией были)

Более новые версии требуют более новых пакетов питона.
Но вот следующая версия, после той что в 2021.1
подходит сюда.
В неё уже входит исправления из патча CVE-2023-40581.patch 

Нужно добавить патч CVE-2023-46121.patch.
Я его пробую добавит, но пока проблема с его наложением.
Что-то я косячу.
Локально патч применяется, в пакете не хочет.

Comment 7 VictorR2007 2024-01-15 18:36:56 MSK

Обновил до версии 2023.09.24.
Старый патч выброшен.
Он уже исправлен в этой версии.
В спеке указал
# https://nvd.nist.gov/vuln/detail/CVE-2023-46121
# https://github.com/yt-dlp/yt-dlp/commit/f04b5bedad7b281bee9814686bba1762bae092eb
Patch1:		CVE-2023-46121.patch


Сборки 2021.1
https://abf.rosalinux.ru/build_lists/4955938   x86_64
https://abf.rosalinux.ru/build_lists/4955939
https://abf.rosalinux.ru/build_lists/4955940
https://abf.rosalinux.ru/build_lists/4955941
https://abf.rosalinux.ru/build_lists/4955942


Сборки 2021.15
https://abf.rosalinux.ru/build_lists/4955943
https://abf.rosalinux.ru/build_lists/4955944
https://abf.rosalinux.ru/build_lists/4955945

Comment 8 Vladimir Potapov 2024-01-16 11:14:25 MSK

(In reply to VictorR2007 from comment #7)
> Сборки 2021.1
> https://abf.rosalinux.ru/build_lists/4955938   x86_64
> https://abf.rosalinux.ru/build_lists/4955939
> https://abf.rosalinux.ru/build_lists/4955940
> https://abf.rosalinux.ru/build_lists/4955941
> https://abf.rosalinux.ru/build_lists/4955942
****************************************************
The update sent to testings



> Сборки 2021.15
> https://abf.rosalinux.ru/build_lists/4955943
> https://abf.rosalinux.ru/build_lists/4955944
> https://abf.rosalinux.ru/build_lists/4955945
***************************************************
published

Comment 9 Vladimir Potapov 2024-01-24 04:51:41 MSK

yt-dlp-2023.09.24-1
https://abf.rosalinux.ru/build_lists/4955938   x86_64
https://abf.rosalinux.ru/build_lists/4955939
https://abf.rosalinux.ru/build_lists/4955940
https://abf.rosalinux.ru/build_lists/4955941
https://abf.rosalinux.ru/build_lists/4955942
*********************************** Advisory **************************
CVE-2023-46121, version update
***********************************************************************
QA Verified