De makers van de open source-mediaspeler VLC betichten Secunia ervan bewust te liegen en de goede naam van VLC te besmeuren. De Deense securityfirma ontkent smaad te plegen en stelt dat de open source-ontwikkelaars serieuze security-kwesties negeren. Daarbij zouden ook concrete meldingen en adviezen terzijde zijn gelegd.

Open source Calimero

Niet waar, reageert VLC die juist Secunia beschuldigt van het negeren van e-mails. Ook zou het beveiligingsbedrijf nu selectief mails van de VLC-ontwikkelaars aanhalen om het eigen gelijk te bewijzen. VLC voelt zich Calimero tegenover de commerciële reus. Deze ruzie loopt al meer dan een half jaar.

"Als een securitybedrijf dat een kwetsbaarheden-database bijhoudt, is onze voornaamste verantwoordelijkheid het bieden van accurate informatie over kwetsbaarheden in uiteenlopende software en het uitvaardigen van feitelijke en neutrale advisories", begint Secunia zijn blogpost 'Shooting the messenger' van begin deze week.

In ontkenning

Op die missie voor correcte, feitelijke en neutrale security-informatie "kunnen diverse problemen tegenkomen, vooral van leveranciers die overbeschermend zijn over hun code, en in ontkenning over de kwetsbaarheden die zijn gevonden in hun software". Secunia stelt dat dergelijke ontwikkelaars, zoals nu VLC, advisories interpreteren als verdraaiing van de feiten om hun slecht af te schilderen.

VLC lijkt die interpretatie te bevestigen in het felle weerwoord 'More lies from Secunia'. "Ik ga niets zeggen over de methodes van dit bedrijf of de angsten die zij proberen hun gebruikers aan te praten. Ze gebruiken dezelfde taktieken als andere bedrijven in deze security-business", begint VLC-ontwikkelaar Jean-Baptiste Kempf zijn blogpost.

'Niet ín VLC'

Hij benadrukt daarin opnieuw dat het eerste door Secunia aangehaalde gat helemaal niet in VLC zelf zit. Het zou namelijk het niet officieel ondersteunde bestandsformaat swf betreffen en in het open source-component FFmpeg/libav schuilen. Die software wordt niet door VLC gemaakt maar simpelweg gebruikt. Secunia pareert dat het veelgebruikte (onder meer in Groot-Brittannië (PDF)) VLC hierdoor wél onveilig is. Gebruikers moeten gewaarschuwd worden, redeneert de securityfirma.

Kempf blogt echter dat het gat allang gedicht is. Bovendien in recordtijd na de publieke onthulling van de kwetsbaarheid, in december vorig jaar. Hij stelt verder dat de volgens Secunia niet-fixende VLC-updates helemaal niet van toepassing zijn. De Deense securityfirma kijkt volgens hem naar de verkeerde fixes en concludeert dan (terecht) dat díe het gat niet dichten.

Tweede, grotere gat?

Er speelt echter nog een ander gat mee in deze ruzie. Dit raakt het - wel officieel ondersteunde - bestandsformaat mkv. Secunia zegt dit eind april bij VLC te hebben gemeld. Ook deze kwetsbaarheid is daarna volgens VLC wél en volgens Secunia níet gedicht.

De twee twistende partijen liggen hierbij ook in de clinch over de exploitbaarheid van dit tweede gat. "Het exploiten van de kwetsbaarheid is verrassend rechttoe-rechtaan", claimt Secunia die ook proof-of-concept (PoC) code heeft geleverd aan VLC. Kempf stelt in eerste instantie dat die PoC wel voor een crash zorgt, maar verder niets doet. "Ik betwijfel dat het exploitable is." In tweede instantie blogt hij dat misbruik volgens het Franse securitybedrijf Vupen misschien toch mogelijk is. "Ik heb geen details daarover."

De oorsprong van deze zaak ligt in december vorig jaar. Toen is een PoC voor een VLC-crash ingediend op de Full Disclosure Mailing List, die wordt gehost door Secunia. Vervolgens is de ruzie ontstaan over wel of niet goed fixen en wel of niet verantwoordelijk onthullen. Overigens hadden de twee begin 2011 ook al een aanvaring.

Loos dreigement

Eind mei dit jaar heeft de kwestie een piek bereikt toen VLC dreigde met een rechtszaak als er niet wordt gerectificeerd. "Als jullie jezelf niet binnen 24 uur corrigeren, nemen we juridische stappen", mailde Kempf toen aan Secunia. Dat dreigement is nooit uitgevoerd. Dat kon namelijk ook niet, geeft VLC zelf toe op Twitter. De open source-ontwikkelaars hebben helemaal geen geld voor advocaten.

"We hadden verwacht dat ze op z'n minst zouden reageren en eindelijk antwoorden", legt VLC de redenatie voor het loze dreigement uit. Secunia blogt nu dat het niet langer direct met VLC wil communiceren en dat het alle toekomstige kwetsbaarheden onmiddelijk zal publiceren. VLC laat aan Webwereld weten dat het gewoon VLC versie 2.1.0 gaat uitbrengen en op de oude voet voortgaat om ingezonden securitygaten te fixen.