细水 2007.12.22

漏洞播报

Adobe Flash Player HTTP响应拆分漏洞

发布日期:2007-12-20
更新日期:2007-12-21

受影响系统:

Adobe Flash Player < 9.0.115.0

不受影响系统:

Adobe Flash Player 9.0.115.0

描述:


BUGTRAQ  ID: 26969
CVE(CAN) ID: CVE-2007-6245

Flash Player是一款非常流行的FLASH播放器。

Flash Player没有正确地验证某些输入,导致HTTP响应拆分攻击。远程攻击者可以在提交的URL中使用特定参数修改HTTP头,一旦用户点击了该URL的话就会导致服务器返回拆分的响应。这可能允许攻击者破坏Web缓存、执行跨站脚本或获得敏感信息。

<*来源:Toshiharu Sugiyama
  
  链接:http://secunia.com/advisories/28161/
        http://www.adobe.com/support/security/bulletins/apsb07-20.html
        https://www.redhat.com/support/errata/RHSA-2007-1126.html
*>

建议:


厂商补丁:

Adobe
—–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_layer_9_linux.tar.gz
http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe

RedHat
——
RedHat已经为此发布了一个安全公告(RHSA-2007:1126-01)以及相应补丁:
RHSA-2007:1126-01:Critical: flash-plugin security update
链接:https://www.redhat.com/support/errata/RHSA-2007-1126.html


您可以随意转载,但必须在显著位置标明 原创链接 和本 版权声明

本文链接: http://www.mcafeefans.com/?p=2227

发表评论

电子邮件地址不会被公开。

:wink: :twisted: :roll: :mrgreen: 8) :-D :arrow: :-o more »

返回页首返回页尾