Рекомендация Debian по безопасности
DSA-2435-1 gnash -- несколько уязвимостей
- Дата сообщения:
- 19.03.2012
- Затронутые пакеты:
- gnash
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 605419, Ошибка 649384, Ошибка 664023.
В каталоге Mitre CVE: CVE-2010-4337, CVE-2011-4328, CVE-2012-1175. - Более подробная информация:
-
В Gnash, проигрывателе Flash от GNU, было обнаружено несколько уязвимостей.
- CVE-2012-1175
Телэй Ван из Georgia Tech Information Security Center обнаружил уязвимость в GNU Gnash, которая возникает из-за переполнения целых чисел и может использоваться для вызова переполнения динамической памяти при условии, что пользователь открывает специально сформированный SWF-файл.
- CVE-2011-4328
Александер Курц обнаружил небезопасную работу с HTTP-куки. Файлы куки сохраняются в /tmp и имеют предсказуемые имена, эта уязвимость позволяет локальному злоумышленнику перезаписывать произвольные файлы, к которым пользователь имеет доступ с правами на запись, также файлы куки открыты для чтения всем пользователям, что может приводить к утечке информации.
- CVE-2010-4337
Якуб Вилк обнаружил небезопасную работу с временными файлами в ходе процесса сборки. Файлы сохраняются в /tmp и имеют предсказуемые имена, эта уязвимость позволяет локальному злоумышленнику перезаписывать произвольные файлы, к которым пользователь имеет доступ с правами на запись.
В стабильном выпуске (squeeze) эта проблема была исправлена в версии 0.8.8-5+squeeze1.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.8.10-5.
Рекомендуется обновить пакеты gnash.
- CVE-2012-1175