セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3055-1 pidgin

Debian セキュリティ勧告

DSA-3055-1 pidgin -- セキュリティ更新

報告日時:

2014-10-23

影響を受けるパッケージ:

pidgin

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-3694, CVE-2014-3695, CVE-2014-3696, CVE-2014-3698.

詳細:

複数の脆弱性が Pidgin、複数プロトコル対応インスタントメッセージングクライアントに発見されました:

• CVE-2014-3694

  SSL/TLS プラグインが中間認証局証明書の基本制約証明書拡張の 検証に失敗することが発見されました。

• CVE-2014-3695

  Yves Younan さんと Richard Johnson さんが、過度に大きな length 値とともに顔文字を送ることで Pidgin をクラッシュさせる可能性があることを発見しました。

• CVE-2014-3696

  Yves Younan さんと Richard Johnson さんが、悪意のある Novell GroupWise メッセージにより Pidgin がクラッシュする可能性があることを発見しました。

• CVE-2014-3698

  Thijs Alkemade さんと Paul Aurich さんが、悪意のある XMPP メッセージによりメモリ漏洩につながる可能性があることを発見しました。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.10.10-1~deb7u1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.10.10-1 で修正されています。

直ちに pidgin パッケージをアップグレードすることを勧めます。