Bulletin d'alerte Debian

DLA-832-1 bitlbee -- Mise à jour de sécurité pour LTS

Date du rapport :
23 février 2017
Paquets concernés :
bitlbee
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-10188, CVE-2016-10189, CVE-2017-5668.
Plus de précisions :
  • CVE-2017-5668

    Correction pour le correctif incomplet pour le déréférencement de pointeur NULL avec une requête de transfert de fichier de contacts inconnus (bien que ce paquet n’était pas dans Wheezy avec le problème mentionné ici. La correction a été réalisée avec le second correctif pour le CVE-2016-10189).

  • CVE-2016-10189

    Déréférencement de pointeur NULL avec une requête de transfert de fichier issue de contacts inconnus.

  • CVE-2016-10188

    Désactivation de tout transfert entrant de fichier bitlbee. Cela concerne n’importe quel protocole de libpurple utilisé à travers BitlBee. Cela ne concerne pas les autres clients basés sur libpurple tels que pidgin.

Pour Debian 6 Squeeze, ces problèmes ont été résolus dans la version 3.0.5-1.2+deb7u1

de bitlbee