Bulletin d'alerte Debian
DSA-2859-1 pidgin -- Plusieurs vulnérabilités
- Date du rapport :
- 10 février 2014
- Paquets concernés :
- pidgin
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Pidgin, un client de messagerie instantanée multi-protocole :
- CVE-2013-6477
Jaime Breva Ribes a découvert qu'un utilisateur distant XMPP peut déclencher un plantage en envoyant un message avec une date dans un futur lointain.
- CVE-2013-6478
Pidgin pourrait être planté par des fenêtres de bulle d'aide trop grandes.
- CVE-2013-6479
Jacob Appelbaum a découvert qu'un serveur malveillant ou un attaquant de type
homme du milieu
pourrait envoyer un en-tête HTTP malformé ayant pour conséquence un déni de service. - CVE-2013-6481
Daniel Atallah a découvert que Pidgin pourrait être planté par des messages peer to peer Yahoo! malformés.
- CVE-2013-6482
Fabian Yamaguchi et Christian Wressnegger ont découvert que Pidgin pourrait être planté par des messages MSN malformés.
- CVE-2013-6483
Fabian Yamaguchi et Christian Wressnegger ont découvert que Pidgin pourrait être planté par des messages XMPP malformés.
- CVE-2013-6484
Un traitement d'erreur incorrect lors de la lecture de la réponse d'un serveur STUN pourrait avoir pour conséquence un plantage.
- CVE-2013-6485
Matt Jones a découvert un dépassement de tampon dans l'analyse de réponses HTTP malformées.
- CVE-2013-6487
Yves Younan et Ryan Pentney ont découvert un dépassement de tampon lors de l'analyse de messages Gadu-Gadu.
- CVE-2013-6489
Yves Younan et Pawel Janic ont découvert un dépassement d'entier lors de l'analyse d'émoticônes MXit.
- CVE-2013-6490
Yves Younan a découvert un dépassement de tampon lors de l'analyse d'en-tête SIMPLE.
- CVE-2014-0020
Daniel Atallah a découvert que Pidgin pourrait être planté avec des arguments IRC malformés.
Pour la distribution oldstable (Squeeze), aucun rétroportage direct n'est proposé. Un paquet corrigé sera prochainement fourni par backports.debian.org.
Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.10.9-1~deb7u1.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.10.9-1.
Nous vous recommandons de mettre à jour vos paquets pidgin.
- CVE-2013-6477