Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3055-1 pidgin

Bulletin d'alerte Debian

DSA-3055-1 pidgin -- Mise à jour de sécurité

Date du rapport :

23 octobre 2014

Paquets concernés :

pidgin

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-3694, CVE-2014-3695, CVE-2014-3696, CVE-2014-3698.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Pidgin, un client de messagerie instantanée multiprotocole :

• CVE-2014-3694

  Les greffons SSL/TLS échouent à valider l'extension basic constraints dans les certificats d'autorités de certification (CA) intermédiaires.

• CVE-2014-3695

  Yves Younan et Richard Johnson ont découvert que les émoticônes dont la valeur de longueur est trop grande pourraient planter Pidgin.

• CVE-2014-3696

  Yves Younan et Richard Johnson ont découvert que des messages Groupwise non conformes pourraient planter Pidgin.

• CVE-2014-3698

  Thijs Alkemade et Paul Aurich ont découvert que des messages XMPP non conformes pourraient avoir pour conséquence la divulgation de mémoire.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.10.10-1~deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.10.10-1.

Nous vous recommandons de mettre à jour vos paquets pidgin.