Информация по безопасности / 2012 / Информация о безопасности -- DSA-2453-1 gajim

Рекомендация Debian по безопасности

DSA-2453-1 gajim -- несколько уязвимостей

Дата сообщения:

16.04.2012

Затронутые пакеты:

gajim

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 668038.
В каталоге Mitre CVE: CVE-2012-2093, CVE-2012-2086, CVE-2012-2085.

Более подробная информация:

В Gajim, полнофункциональном Jabber-клиенте, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2012-1987

  Gajim неправильно выполняет очистку входных данных до передачи их командам командной оболочки. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода от лица жертвы при условии, что пользователь, например, кликает на специально сформированный URL в мгновенном сообщении.

• CVE-2012-2093

  Gajim использует предсказуемые временные файлы небезопасным способом при преобразовании мгновенных сообщений, содержащих код LaTeX в изображения. Локальный злоумышленник может использовать эту уязвимость для выполнения атаки через символьные ссылки и перезаписи файлов, к которым жертва имеет доступ с правами на запись.

• CVE-2012-2086

  Gajim неправильно выполняет очистку входных данных при ведении журнала общения, что приводит к возможности выполнения SQL-инъекции.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 0.13.4-3+squeeze3.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 0.15-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.15-1.

Рекомендуется обновить пакеты gajim.