Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2453-1 gajim

Debians sikkerhedsbulletin

DSA-2453-1 gajim -- flere sårbarheder

Rapporteret den:

16. apr 2012

Berørte pakker:

gajim

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 668038.
I Mitres CVE-ordbog: CVE-2012-2093, CVE-2012-2086, CVE-2012-2085.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Gajim, en funktionsrig Jabber-klient. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2012-1987

  Gajim fornuftighedskontrollerede ikke på korrekt vis inddata, før de blev overført til shell-kommandoer. En angriber kunne udnytte fejlen til at udføre vilkårlig kode på vegne af offeret, hvis brugeren fx klikkede på en særligt fremstillet URL i en chatbesked.

• CVE-2012-2093

  Gajim anvendte forudsigelige midlertidige filer på en usikker måde, når chatbeskeder indeholdende LaTeX blev konverteret til billeder. En lokal angriber kunne udnytte fejlen til at udføre symlink-angrib samt overskrive filer, som offeret har skriveadgang til.

• CVE-2012-2086

  Gajim fornuftighedskontrollerede ikke på korrekt vis inddata, når der blev logget samtaler, hvilket medførte, at der var mulighed for at udføre angreb i forbindelse med indsprøjtning af SQL.

I den stabile distribution (squeeze), er dette problem rettet i version 0.13.4-3+squeeze3.

I distributionen testing (wheezy), er dette problem rettet i version 0.15-1.

I den ustabile distribution (sid), er dette problem rettet i version 0.15-1.

Vi anbefaler at du opgraderer dine gajim-pakker.