Рекомендация Debian по безопасности

DSA-1870-1 pidgin -- недостаточная проверка входных данных

Дата сообщения:

19.08.2009

Затронутые пакеты:

pidgin

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2009-2694.

Более подробная информация:

Федерико Муттис обнаружил, что libpurple, разделяемая библиотека, добавляющая клиенту pidgin поддержку различных сетей для мгновенного обмена сообщениями, содержит переполнение динамической памяти. Эта проблема имеет место из-за неполного исправления CVE-2008-2927 и CVE-2009-1376. Злоумышленник может использовать эту уязвимость, отправив жертве два последовательных SLP-пакета через MSN.

Первый пакет используется для создания объекта-сообщения SLP с отступом, равным нулю, второй пакет содержит специально сформированный отступ, который вызывает уязвимость, изначально исправленную в CVE-2008-2927 и CVE-2009-1376 и позволяет злоумышленнику выполнить произвольный код.

Внимание: пользователи, использующие опцию "Разрешить доступ только пользователям, указанным ниже" ("Allow only the users below") не подвержены этой уязвимости. Если вы не можете установить приведённые ниже обновления, установите эту опцию в Средства->Конфиденциальность (Tools->Privacy).

В стабильном выпуске (lenny) эта проблема была исправлена в версии 2.4.3-4lenny3.

В тестируемом выпуске (squeeze) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.5.9-1.

Рекомендуется обновить пакеты pidgin.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:: http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3.orig.tar.gz; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3.dsc; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3.diff.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/p/pidgin/libpurple-bin_2.4.3-4lenny3_all.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin-data_2.4.3-4lenny3_all.deb; http://security.debian.org/pool/updates/main/p/pidgin/libpurple-dev_2.4.3-4lenny3_all.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin-dev_2.4.3-4lenny3_all.deb; http://security.debian.org/pool/updates/main/p/pidgin/finch-dev_2.4.3-4lenny3_all.deb
Alpha:: http://security.debian.org/pool/updates/main/p/pidgin/finch_2.4.3-4lenny3_alpha.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3_alpha.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin-dbg_2.4.3-4lenny3_alpha.deb; http://security.debian.org/pool/updates/main/p/pidgin/libpurple0_2.4.3-4lenny3_alpha.deb
AMD64:: http://security.debian.org/pool/updates/main/p/pidgin/finch_2.4.3-4lenny3_amd64.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin-dbg_2.4.3-4lenny3_amd64.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3_amd64.deb; http://security.debian.org/pool/updates/main/p/pidgin/libpurple0_2.4.3-4lenny3_amd64.deb
ARM:: http://security.debian.org/pool/updates/main/p/pidgin/finch_2.4.3-4lenny3_arm.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3_arm.deb; http://security.debian.org/pool/updates/main/p/pidgin/libpurple0_2.4.3-4lenny3_arm.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin-dbg_2.4.3-4lenny3_arm.deb
ARM EABI:: http://security.debian.org/pool/updates/main/p/pidgin/pidgin-dbg_2.4.3-4lenny3_armel.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3_armel.deb; http://security.debian.org/pool/updates/main/p/pidgin/finch_2.4.3-4lenny3_armel.deb; http://security.debian.org/pool/updates/main/p/pidgin/libpurple0_2.4.3-4lenny3_armel.deb
HP Precision:: http://security.debian.org/pool/updates/main/p/pidgin/finch_2.4.3-4lenny3_hppa.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin-dbg_2.4.3-4lenny3_hppa.deb; http://security.debian.org/pool/updates/main/p/pidgin/libpurple0_2.4.3-4lenny3_hppa.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/p/pidgin/libpurple0_2.4.3-4lenny3_i386.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3_i386.deb; http://security.debian.org/pool/updates/main/p/pidgin/finch_2.4.3-4lenny3_i386.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin-dbg_2.4.3-4lenny3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/p/pidgin/pidgin-dbg_2.4.3-4lenny3_ia64.deb; http://security.debian.org/pool/updates/main/p/pidgin/finch_2.4.3-4lenny3_ia64.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3_ia64.deb; http://security.debian.org/pool/updates/main/p/pidgin/libpurple0_2.4.3-4lenny3_ia64.deb
Big-endian MIPS:: http://security.debian.org/pool/updates/main/p/pidgin/pidgin-dbg_2.4.3-4lenny3_mips.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3_mips.deb; http://security.debian.org/pool/updates/main/p/pidgin/libpurple0_2.4.3-4lenny3_mips.deb; http://security.debian.org/pool/updates/main/p/pidgin/finch_2.4.3-4lenny3_mips.deb
PowerPC:: http://security.debian.org/pool/updates/main/p/pidgin/pidgin-dbg_2.4.3-4lenny3_powerpc.deb; http://security.debian.org/pool/updates/main/p/pidgin/pidgin_2.4.3-4lenny3_powerpc.deb; http://security.debian.org/pool/updates/main/p/pidgin/libpurple0_2.4.3-4lenny3_powerpc.deb; http://security.debian.org/pool/updates/main/p/pidgin/finch_2.4.3-4lenny3_powerpc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.