Set
18

Grave vulnerabilità  del plugin flash di Adobe: FreeBSD howto

Qualche giorno fa è stata scoperta una grave vulnerabilità  del plugin flash di Adobe delle versioni precedenti alla 7.0r68 (e precedenti alla 8.0.33.0 per quanto riguarda la versione 8.x), che permette l’esecuzione di codice maligno ad un attaccante malintenzionato.

Attualmente, il port /usr/ports/www/linux-flashplugin7/ di FreeBSD, è marcato come IGNORE quindi, se date provate ad aggiornare i ports con portupgrade, avrete come output qualcosa del genere:

** Port marked as IGNORE: www/linux-flashplugin7:
is forbidden: Arbitrary code execution vulnerabilities: http://vuxml.FreeBSD.org/7c75d48c-429b-11db-afae-000c6ec775d9.html

Io ho bypassato il problema, in modo da non essere vulnerabile da subito (senza aspettare l’aggiornamento del port): ho scaricato la versione aggiornata del flash plugin da qui, ho decompresso l’archivio con:

# tar xzvf install_flash_player_7_linux.tar.gz
# cd install_flash_player_7_linux

e spostato i 2 files del plugin nella directory appropriata..

# mv flashplayer.xpt /usr/X11R6/lib/browser_plugins/
# mv libflashplayer.so /usr/X11R6/lib/browser_plugins

Bene, ora, dando un about:plugin sul browser, ho come output..

File name: libflashplayer.so
Shockwave Flash 7.0 r68

.. il che vuol dire che non sono vulnerabile :-) Ovviamente la procedura di sopra, vale anche per gli utenti Linux, con la differenza che, la directory nella quale spostare i 2 files del plugin, sarà  probabilmente diversa rispetto a FreeBSD.

UPDATE DEL 22/09/2006

Se avete eseguito correttamente tutti i passi di cui sopra vi sarete accorti che, al primo sito che avesse una qualche animazione flash che avete navigato, Firefox si è improvvisamente chiuso!
Ecco come risolvere il problema:

# cd /usr/src
# fetch http://people.FreeBSD.org/~nork/rtld_dlsym_hack.diff
# patch < rtld_dlsym_hack.diff
# cd libexec/rtld-elf/
# make clean
# make obj
# make depend
# make && make install

Buona navigazione :-)

UPDATE DEL 24/09/2006

E’ ora disponibile il port aggiornato del plugin flash, quindi è possibile aggiornare direttamente dal port, senza eseguire la procedura indicata sopra.

Lascia un commento

Nome

Email (non verrà pubblicata)

Sito web (opzionale)

Quanto fa 4 + 5 ? (protezione antispam)





Hai bisogno di un sito web?

Web&Dintorni

Vuoi collaborare a questo blog?

Ogni tipo di collaborazione è benvenuta!


Scrivimi all'indirizzo paolo.gatti@gmail.com o invia un messaggio sulla pagina Facebook!