Debians sikkerhedsbulletin

DSA-2859-1 pidgin -- flere sårbarheder

Rapporteret den:
10. feb 2014
Berørte pakker:
pidgin
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Pidgin, en chatklient som understøtter flere protokoller:

  • CVE-2013-6477

    Jaime Breva Ribes opdagede at en fjern-XMPP-bruger kunne udløse et nedbrud ved at sende en meddelelse med en tidsstempling i den fjerne fremtid.

  • CVE-2013-6478

    Pidgin kunne bringes til at gå ned ved hjælp af alt for brede tooltip-vinduer.

  • CVE-2013-6479

    Jacob Appelbaum opdagede at en ondsindet server eller en manden i midten, kunne sende en misdannet HTTP-header, medførende et lammelsesangreb (denial of service).

  • CVE-2013-6481

    Daniel Atallah opdagede at Pidgin kunne bringes til at gå ned gennem misdannede Yahoo! P2P-meddelelser.

  • CVE-2013-6482

    Fabian Yamaguchi og Christian Wressnegger opdagede at Pidgin kunne bringes til at gå ned gennem misdannede MSN-meddelelser.

  • CVE-2013-6483

    Fabian Yamaguchi og Christian Wressnegger opdagede at Pidgin kunne bringes til at gå ned gennem misdannede XMPP-meddelelser.

  • CVE-2013-6484

    Man opdagede at ukorrekt fejlhåndtering ved læsning af et svar fra en STUN-server, kunne medføre et nedbrud.

  • CVE-2013-6485

    Matt Jones opdagede et bufferoverløb i fortolkningen af misdannede HTTP-svar.

  • CVE-2013-6487

    Yves Younan og Ryan Pentney opdagede et bufferoverløb ved fortolkning af Gadu-Gadu-meddelelser.

  • CVE-2013-6489

    Yves Younan og Pawel Janic opdagede et heltalsoverløb ved fortolkning af MXit-emoticons.

  • CVE-2013-6490

    Yves Younan opdagede et bufferoverløb ved fortolkning af SIMPLE-headere.

  • CVE-2014-0020

    Daniel Atallah opdagede at Pidgin kunne bringes til at gå ned gennem misdannede IRC-parametre.

I den gamle stabile distribution (squeeze), stilles der ikke direkte tilbageførsel til rådighed. En rettet pakke vil om kort tid blive stillet til rådighed gennem backports.debian.org.

I den stabile distribution (wheezy), er disse problemer rettet i version 2.10.9-1~deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 2.10.9-1.

Vi anbefaler at du opgraderer dine pidgin-pakker.