Adobe Flex缓冲区溢出漏洞

CVE编号

CVE-2016-6354

利用情况

暂无

补丁情况

官方补丁

披露时间

2016-09-22

漏洞描述

Adobe Flex是美国奥多比（Adobe）公司的一套免费、开源的用于构建和维护Web应用程序的框架。
Adobe Flex中的yy_get_next_buffer函数存在缓冲区溢出漏洞。远程攻击者可利用该漏洞造成拒绝服务，执行任意代码。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://sourceforge.net/p/flex/bugs/187/

参考链接
http://www.debian.org/security/2016/dsa-3653
http://www.openwall.com/lists/oss-security/2016/07/18/8
http://www.openwall.com/lists/oss-security/2016/07/26/12
https://github.com/westes/flex/commit/a5cbe929ac3255d371e698f62dc256afe7006466
https://security.gentoo.org/glsa/201701-31

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	flex_project	flex	*		Up to (including) 2.6.0
	运行在以下环境
	系统	alpine_3.2	flex	*		Up to (excluding) 2.5.39-r1
	运行在以下环境
	系统	alpine_3.3	flex	*		Up to (excluding) 2.5.39-r3
	运行在以下环境
	系统	alpine_3.4	flex	*		Up to (excluding) 2.6.1-r0
	运行在以下环境
	系统	debian	debian_linux	8.0	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 2.6.1-1
	运行在以下环境
	系统	debian_8	flex	*		Up to (excluding) 2.5.39-8+deb8u2
	运行在以下环境
	系统	fedora_23	flex	*		Up to (excluding) 2.6.0-2.fc23
	运行在以下环境
	系统	fedora_24	flex	*		Up to (excluding) 2.6.0-2.fc24
	运行在以下环境
	系统	opensuse_Leap_42.1	flex	*		Up to (excluding) 2.46-9.2
	运行在以下环境
	系统	opensuse_Leap_42.2	flex	*		Up to (excluding) 2.46-9.2
	运行在以下环境
	系统	sles_11_SP4	flex	*		Up to (excluding) 45.3.0esr-50.1
	运行在以下环境
	系统	sles_12	bogofilter	*		Up to (excluding) 1.2.4-5
	运行在以下环境
	系统	sles_12_SP1	flex	*		Up to (excluding) 45.3.0esr-78.1
	运行在以下环境
	系统	sles_12_SP2	flex	*		Up to (excluding) 2.2.6-44.3
	运行在以下环境
	系统	suse_11_SP4	flex	*		Up to (excluding) 45.3.0esr-50.1
	运行在以下环境
	系统	suse_12_SP1	flex	*		Up to (excluding) 45.3.0esr-78.1
	运行在以下环境
	系统	suse_12_SP2	flex	*		Up to (excluding) 2.2.6-44.3
	运行在以下环境
	系统	ubuntu_12.04_lts	flex	*		Up to (excluding) 2.5.35-10ubuntu3
	运行在以下环境
	系统	ubuntu_14.04_lts	flex	*		Up to (excluding) 2.5.35-10.1ubuntu2
	运行在以下环境
	系统	ubuntu_18.04_lts	flex	*		Up to (excluding) 2.6.1-1
	运行在以下环境
	系统	ubuntu_18.10	flex	*		Up to (excluding) 2.6.1-1

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 CWE-119 内存缓冲区边界内操作的限制不恰当

正文

Adobe Flex缓冲区溢出漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Security Network Protection GSKit信息泄露漏洞

PHP ‘serialize_function_call()’函数远程代码执行漏洞

PHP 'gdImageRotateInterpolated'函数拒绝服务漏洞

PHP ‘phar_fix_filepath()’函数栈缓冲区溢出漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]