Debian DSA-2435-1:gnash - 多个漏洞
medium Nessus 插件 ID 58392
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
在 Gnash(GNU Flash player)中发现多个漏洞。- CVE-2012-1175 乔治亚技术信息安全中心的 Tielei Wang 在 GNU Gnash 中发现一个由整数溢出错误导致的漏洞,可通过诱骗用户打开特别构建的 SWF 文件,利用此漏洞造成基于堆的缓冲区溢出。
- CVE-2011-4328 Alexander Kurtz 发现不安全的 HTTP Cookie 管理。Cookie 文件存储于 /tmp 下并具有可预测的文件名,此漏洞允许本地攻击者覆盖该用户拥有写入权限且全局可读的任意文件,这可造成信息泄露。
- CVE-2010-4337 Jakub Wilk 发现构建过程中存在不安全的临时文件管理。文件存储于 /tmp 下并具有可预测的文件名,此漏洞允许本地攻击者覆盖该用户拥有写入权限的任意文件。
解决方案
升级 gnash 程序包。对于稳定发行版本 (squeeze),已在版本 0.8.8-5+squeeze1 中修复此问题。
另见
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=605419
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=649384
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=664023
https://security-tracker.debian.org/tracker/CVE-2012-1175
https://security-tracker.debian.org/tracker/CVE-2011-4328
https://security-tracker.debian.org/tracker/CVE-2010-4337
插件详情
严重性: Medium
ID: 58392
文件名: debian_DSA-2435.nasl
版本: 1.13
类型: local
代理: unix
发布时间: 2012/3/20
最近更新时间: 2021/1/11
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:gnash, cpe:/o:debian:debian_linux:6.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2012/3/19
参考资料信息
CVE: CVE-2010-4337, CVE-2011-4328, CVE-2012-1175
DSA: 2435