Säkerhetsbulletin från Debian

DSA-2859-1 pidgin -- flera sårbarheter

Rapporterat den:
2014-02-10
Berörda paket:
pidgin
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020.
Ytterligare information:

Flera sårbarheter har upptäckts i Pidgin, en klient för snabbmeddelanden med stöd för flera protokoll:

  • CVE-2013-6477

    Jaime Breva Ribes upptäckte att en fjärr-XMPP-användare kan trigga en krasch genom att skicka ett meddelande med en tidsstämpel satt långt fram i framtiden.

  • CVE-2013-6478

    Pidgin kunde kraschas genom överdrivet breda verktygsfönster.

  • CVE-2013-6479

    Jacob Appelbaum upptäckte att en illasinnad server eller en man in the middle kunde skicka ett omformat HTTP-huvud vilket kan resultera i en överbelastning.

  • CVE-2013-6481

    Daniel Atallah upptäckte att Pidgin kunde kraschas genom felaktiktigt formaterade Yahoo! P2P-meddelanden.

  • CVE-2013-6482

    Fabian Yamaguchi och Christian Wressnegger upptäckte att Pidgin kunde kraschas genom felaktiktigt formaterade MSN-meddelanden.

  • CVE-2013-6483

    Fabian Yamaguchi och Christian Wressnegger upptäckte att Pidgin kunde kraschas genom felaktiktigt formaterade XMPP-meddelanden.

  • CVE-2013-6484

    Man har upptäckt att felaktig felhantering vid läsning av ett svar från en STUN-server kunde resultera i en krasch.

  • CVE-2013-6485

    Matt Jonas upptäckte ett buffertspill i tolkningen av ett felaktigt formaterat HTTP-svar.

  • CVE-2013-6487

    Yves Younan och Ryan Pentney upptäckte ett buffertspill vid tolkning av Gadu-Gadu-meddelanden.

  • CVE-2013-6489

    Yves Younan och Pawel Janic upptäckte ett heltalsspill vid tolkning av MXit-emoticons.

  • CVE-2013-6490

    Yves Younan upptäckte ett buffertspill vid tolkning av SIMPLE-huvuden.

  • CVE-2014-0020

    Daniel Atallah upptäckte att Pidgin kunde fås att kraschas med hjälp av felaktigt formaterade IRC-argument.

För den gamla stabila utgåvan (Squeeze), tillhandahålls ingen direkt bakåtanpassning. Ett rättat paket kommer att tillhandahållas via backports.debian.org inom kort.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.10.9-1~deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.10.9-1.

Vi rekommenderar att ni uppgraderar era pidgin-paket.