Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2453-1 gajim

Säkerhetsbulletin från Debian

DSA-2453-1 gajim -- flera sårbarheter

Rapporterat den:

2012-04-16

Berörda paket:

gajim

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 668038.
I Mitres CVE-förteckning: CVE-2012-2093, CVE-2012-2086, CVE-2012-2085.

Ytterligare information:

Flera sårbarheter har upptäckts i Gajim, en fullfjädrad Jabberklient. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2012-1987

  Gajim rengör inte indata ordentligt före den skickar denna data till skalkommandon. En angripare kan använda denna brist för att köra godtycklig kod på angreppsoffrets räkning om användaren exempelvis klickar på en speciellt skapad URL i ett snabbmeddelande.

• CVE-2012-2093

  Gajim använder förutsägbara temporära filer på ett osäkert sätt vid konvertering av snabbmeddelanden som innehåller LaTeX till bilder. En lokal användare kan använda denna brist för att utföra symlänkangrepp och skriva över filer som offret har skrivrättigheter för.

• CVE-2012-2086

  Gajim rengör inte indata ordentligt vid loggning av konversationer vilket resulterar i möjligheten att utföra SQL-injiceringsangrepp.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 0.13.4-3+squeeze3.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 0.15-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.15-1.

Vi rekommenderar att ni uppgraderar era gajim-paket.