Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2859-1 pidgin

Bulletin d'alerte Debian

DSA-2859-1 pidgin -- Plusieurs vulnérabilités

Date du rapport :

10 février 2014

Paquets concernés :

pidgin

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Pidgin, un client de messagerie instantanée multi-protocole :

• CVE-2013-6477

  Jaime Breva Ribes a découvert qu'un utilisateur distant XMPP peut déclencher un plantage en envoyant un message avec une date dans un futur lointain.

• CVE-2013-6478

  Pidgin pourrait être planté par des fenêtres de bulle d'aide trop grandes.

• CVE-2013-6479

  Jacob Appelbaum a découvert qu'un serveur malveillant ou un attaquant de type homme du milieu pourrait envoyer un en-tête HTTP malformé ayant pour conséquence un déni de service.

• CVE-2013-6481

  Daniel Atallah a découvert que Pidgin pourrait être planté par des messages peer to peer Yahoo! malformés.

• CVE-2013-6482

  Fabian Yamaguchi et Christian Wressnegger ont découvert que Pidgin pourrait être planté par des messages MSN malformés.

• CVE-2013-6483

  Fabian Yamaguchi et Christian Wressnegger ont découvert que Pidgin pourrait être planté par des messages XMPP malformés.

• CVE-2013-6484

  Un traitement d'erreur incorrect lors de la lecture de la réponse d'un serveur STUN pourrait avoir pour conséquence un plantage.

• CVE-2013-6485

  Matt Jones a découvert un dépassement de tampon dans l'analyse de réponses HTTP malformées.

• CVE-2013-6487

  Yves Younan et Ryan Pentney ont découvert un dépassement de tampon lors de l'analyse de messages Gadu-Gadu.

• CVE-2013-6489

  Yves Younan et Pawel Janic ont découvert un dépassement d'entier lors de l'analyse d'émoticônes MXit.

• CVE-2013-6490

  Yves Younan a découvert un dépassement de tampon lors de l'analyse d'en-tête SIMPLE.

• CVE-2014-0020

  Daniel Atallah a découvert que Pidgin pourrait être planté avec des arguments IRC malformés.

Pour la distribution oldstable (Squeeze), aucun rétroportage direct n'est proposé. Un paquet corrigé sera prochainement fourni par backports.debian.org.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.10.9-1~deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.10.9-1.

Nous vous recommandons de mettre à jour vos paquets pidgin.