Bulletin d'alerte Debian

DSA-2859-1 pidgin -- Plusieurs vulnérabilités

Date du rapport :
10 février 2014
Paquets concernés :
pidgin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Pidgin, un client de messagerie instantanée multi-protocole :

  • CVE-2013-6477

    Jaime Breva Ribes a découvert qu'un utilisateur distant XMPP peut déclencher un plantage en envoyant un message avec une date dans un futur lointain.

  • CVE-2013-6478

    Pidgin pourrait être planté par des fenêtres de bulle d'aide trop grandes.

  • CVE-2013-6479

    Jacob Appelbaum a découvert qu'un serveur malveillant ou un attaquant de type homme du milieu pourrait envoyer un en-tête HTTP malformé ayant pour conséquence un déni de service.

  • CVE-2013-6481

    Daniel Atallah a découvert que Pidgin pourrait être planté par des messages peer to peer Yahoo! malformés.

  • CVE-2013-6482

    Fabian Yamaguchi et Christian Wressnegger ont découvert que Pidgin pourrait être planté par des messages MSN malformés.

  • CVE-2013-6483

    Fabian Yamaguchi et Christian Wressnegger ont découvert que Pidgin pourrait être planté par des messages XMPP malformés.

  • CVE-2013-6484

    Un traitement d'erreur incorrect lors de la lecture de la réponse d'un serveur STUN pourrait avoir pour conséquence un plantage.

  • CVE-2013-6485

    Matt Jones a découvert un dépassement de tampon dans l'analyse de réponses HTTP malformées.

  • CVE-2013-6487

    Yves Younan et Ryan Pentney ont découvert un dépassement de tampon lors de l'analyse de messages Gadu-Gadu.

  • CVE-2013-6489

    Yves Younan et Pawel Janic ont découvert un dépassement d'entier lors de l'analyse d'émoticônes MXit.

  • CVE-2013-6490

    Yves Younan a découvert un dépassement de tampon lors de l'analyse d'en-tête SIMPLE.

  • CVE-2014-0020

    Daniel Atallah a découvert que Pidgin pourrait être planté avec des arguments IRC malformés.

Pour la distribution oldstable (Squeeze), aucun rétroportage direct n'est proposé. Un paquet corrigé sera prochainement fourni par backports.debian.org.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.10.9-1~deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.10.9-1.

Nous vous recommandons de mettre à jour vos paquets pidgin.