检测

RHEL 3/4:flash-plugin (RHSA-2008:0980)

critical Nessus 插件 ID 63870

语言:

简介

远程 Red Hat 主机缺少安全更新。

描述

更新后的 Adobe Flash Player 程序包修复了多个安全问题,现在可用于 Red Hat Enterprise Linux 3 和 4 Extras。

Red Hat 安全响应团队将此更新评级为具有严重安全影响。

[2008 年 11 月 18 日更新] 此勘误表已更新以包含对发布时未公开的另一个以 CVE 命名的问题的引用。勘误表的安全影响也已升级到危急。未对程序包进行更改。

flash-plugin 程序包包含与 Firefox 兼容的 Adobe Flash Player Web 浏览器插件。

在 Adobe Flash Player 将内容写入剪贴板的方式中发现一个缺陷。恶意 SWF (Shockwave Flash) 文件可通过 URL 来填充剪贴板,可导致用户意外或错误地加载受攻击者控制的 URL。(CVE-2008-3873)

在 Adobe 的 ActionScript 脚本语言中发现一个缺陷,该缺陷允许 Flash 脚本在不与用户交互的情况下发起文件上传和下载。现在仅可通过鼠标点击或键盘按键等用户交互来发起 ActionScript 的 FileReference.browse 和 FileReference.download 方法调用。(CVE-2008-4401)

在 Adobe Flash Player 的设置管理器内容显示中发现一个缺陷。恶意 SWF 文件可诱骗用户无意或错误地点击链接或对话框,这样随后可为该恶意 SWF 文件提供访问本地计算机的摄像头或麦克风的权限。(CVE-2008-4503)

发现 Flash Player 限制跨域策略文件的解释和使用的方式存在缺陷。远程攻击者可能使用 Flash Player 执行跨域和跨站脚本攻击(CVE-2007-4324、CVE-2007-6243)。此更新提供对这些问题的增强补丁。

Flash Player 在其解释 HTTP 响应头的方式中包含一个缺陷。攻击者可使用此缺陷进行针对运行 Flash Player 的用户的跨站脚本攻击。
(CVE-2008-4818)

在 Flash Player 处理 ActionScript 属性的方式中发现一个缺陷。恶意站点可使用此缺陷来注入任意 HTML 内容,从而迷惑运行浏览器的用户。(CVE-2008-4823)

在 Flash Player 解释策略文件的方式中发现一个缺陷。可以绕过非根域策略,从而可能允许恶意站点访问其他域中的数据。(CVE-2008-4822)

在 Flash Player 的 jar: 协议处理程序与 Mozilla 交互的方式中发现一个缺陷。恶意 flash 应用程序可使用此缺陷来泄露敏感信息。(CVE-2008-4821)

更新后的 Flash Player 还对机制进行扩展以帮助防止攻击者执行 DNS 重新绑定攻击。(CVE-2008-4819)

所有 Adobe Flash Player 的用户应升级此更新后的程序包,其中包含 Flash Player 版本 9.0.151.0。

解决方案

更新受影响的 flash-plugin 程序包。

另见

https://www.redhat.com/security/data/cve/CVE-2007-4324.html

https://www.redhat.com/security/data/cve/CVE-2007-6243.html

https://www.redhat.com/security/data/cve/CVE-2008-3873.html

https://www.redhat.com/security/data/cve/CVE-2008-4401.html

https://www.redhat.com/security/data/cve/CVE-2008-4503.html

https://www.redhat.com/security/data/cve/CVE-2008-4818.html

https://www.redhat.com/security/data/cve/CVE-2008-4819.html

https://www.redhat.com/security/data/cve/CVE-2008-4821.html

https://www.redhat.com/security/data/cve/CVE-2008-4822.html

https://www.redhat.com/security/data/cve/CVE-2008-4823.html

https://www.redhat.com/security/data/cve/CVE-2008-4824.html

https://www.redhat.com/security/data/cve/CVE-2008-5361.html

https://www.redhat.com/security/data/cve/CVE-2008-5362.html

https://www.redhat.com/security/data/cve/CVE-2008-5363.html

http://www.adobe.com/support/security/bulletins/apsb08-18.html

http://www.adobe.com/support/security/bulletins/apsb08-20.html

http://www.adobe.com/support/security/bulletins/apsb08-22.html

http://www.adobe.com/products/flashplayer/

http://rhn.redhat.com/errata/RHSA-2008-0980.html

插件详情

严重性: Critical

ID: 63870

文件名: redhat-RHSA-2008-0980.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2013/1/24

最近更新时间: 2021/1/14

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:flash-plugin, cpe:/o:redhat:enterprise_linux:3, cpe:/o:redhat:enterprise_linux:4, cpe:/o:redhat:enterprise_linux:4.7

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

补丁发布日期: 2008/11/18

参考资料信息

CVE: CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

CWE: 20, 200, 264, 399, 79

RHSA: 2008:0980