Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2453-1 gajim

Bulletin d'alerte Debian

DSA-2453-1 gajim -- Plusieurs vulnérabilités

Date du rapport :

16 avril 2012

Paquets concernés :

gajim

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 668038.
Dans le dictionnaire CVE du Mitre : CVE-2012-2093, CVE-2012-2086, CVE-2012-2085.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Gajim, un client de messagerie instantanée Jabber. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2012-1987

  Gajim ne vérifie pas correctement l'entrée avant de la passer aux commandes d'interpréteur. Un attaquant peut utiliser ce défaut pour faire exécuter du code arbitraire à sa victime si l'utilisateur, par exemple, clique sur une URL contrefaite pour l'occasion dans un message instantané.

• CVE-2012-2093

  Gajim utilise des fichiers temporaires prévisibles de façon non sécurisée lors de la conversion de messages instantanés contenant du LaTeX vers des images. Un attaquant local peut utiliser ce défaut pour mener des attaques de lien symbolique et écraser des fichiers auxquels la victime a accès en écriture.

• CVE-2012-2086

  Gajim ne vérifie pas correctement l'entrée lors de la journalisation de conversations, avec pour conséquence la possibilité de mener des attaques d'injection SQL.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.13.4-3+squeeze3.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.15-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.15-1.

Nous vous recommandons de mettre à jour vos paquets gajim.