RHEL 5:flash-plugin (RHSA-2008:0945)
critical Nessus 插件 ID 63869
语言:
简介
远程 Red Hat 主机缺少安全更新。描述
更新后的 Adobe Flash Player 程序包修复了多个安全问题,现在可用于 Red Hat Enterprise Linux 5 Supplementary。Red Hat 安全响应团队将此更新评级为具有严重安全影响。
[2008 年 11 月 18 日更新] 该勘误表已更新以包含对发布时未公开的更多以 CVE 命名的问题的引用。勘误表的安全影响也已升级到危急。未对程序包进行更改。
flash-plugin 程序包包含与 Firefox 兼容的 Adobe Flash Player Web 浏览器插件。
在 Adobe Flash Player 将内容写入剪贴板的方式中发现一个缺陷。恶意 SWF 文件可通过 URL 来填充剪贴板,可导致用户错误地加载受攻击者控制的 URL。(CVE-2008-3873)
发现一个缺陷,该缺陷允许 Adobe Flash Player 的 ActionScript 在不与用户交互的情况下发起文件上传和下载。
现在仅可通过鼠标点击或键盘按键等用户交互来发起 FileReference.browse 和 FileReference.download 调用。(CVE-2008-4401)
在 Adobe Flash Player 的设置管理器内容显示中发现一个缺陷。恶意 SWF 文件可诱骗用户不知不觉地点击链接或对话框。然后,这样可向恶意 SWF 文件提供访问本地计算机的摄像头或麦克风的权限。(CVE-2008-4503)
发现 Flash Player 限制跨域策略文件的解释和使用的方式存在缺陷。远程攻击者可能使用 Flash Player 执行跨域和跨站脚本攻击(CVE-2007-4324、CVE-2007-6243)。此更新提供对这些问题的增强补丁。
Adobe Flash Player 10 还包含若干缺陷补丁和功能增强,包括:
* 修复了声音输出中的争用条件问题,从而改进了 Linux 平台上的稳定性。
* 对自定义过滤器和特效、本机 3D 转换和动画、高级音频处理、更灵活的新文本引擎以及 GPU 硬件加速的新支持。
有关新功能和增强的更多信息,请参阅 Adobe Flash Player 站点和 Adobe Labs 发行说明。
注意:某些用户可能安装了用于更早版本 Flash Player 的第三方组件 libflashsupport。Adobe Flash Player 10 不再支持 libflashsupport。如果安装了 libflashsupport,建议用户将其删除。
所有 Adobe Flash Player 的用户应升级此更新后的程序包,其中包含 Flash Player 版本 10.0.12.36。
解决方案
更新受影响的 flash-plugin 程序包。另见
https://access.redhat.com/security/cve/cve-2007-4324
https://access.redhat.com/security/cve/cve-2007-6243
https://access.redhat.com/security/cve/cve-2008-3873
https://access.redhat.com/security/cve/cve-2008-4401
https://access.redhat.com/security/cve/cve-2008-4503
https://access.redhat.com/security/cve/cve-2008-4818
https://access.redhat.com/security/cve/cve-2008-4819
https://access.redhat.com/security/cve/cve-2008-4821
https://access.redhat.com/security/cve/cve-2008-4822
https://access.redhat.com/security/cve/cve-2008-4823
https://access.redhat.com/security/cve/cve-2008-4824
https://access.redhat.com/security/cve/cve-2008-5361
https://access.redhat.com/security/cve/cve-2008-5362
https://access.redhat.com/security/cve/cve-2008-5363
https://www.adobe.com/support/security/bulletins/apsb08-18.html
https://www.adobe.com/support/security/bulletins/apsb08-20.html
https://www.adobe.com/support/security/bulletins/apsb08-22.html
https://www.adobe.com/devnet/flashplayer.html
插件详情
严重性: Critical
ID: 63869
文件名: redhat-RHSA-2008-0945.nasl
版本: 1.18
类型: local
代理: unix
发布时间: 2013/1/24
最近更新时间: 2021/1/14
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:flash-plugin, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:5.2
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2008/11/18
漏洞发布日期: 2007/8/13
参考资料信息
CVE: CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363