Säkerhetsbulletin från Debian
DSA-3055-1 pidgin -- säkerhetsuppdatering
- Rapporterat den:
- 2014-10-23
- Berörda paket:
- pidgin
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-3694, CVE-2014-3695, CVE-2014-3696, CVE-2014-3698.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i Pidgin, en snabbmeddelandeklient för flera protokoll:
- CVE-2014-3694
Man har upptäckt att insticksmodulerna för SSL/TLS misslyckas att validera den enkla begränsningextensionen i mellanliggande CA-certifikat.
- CVE-2014-3695
Yves Younan och Richard Johnson upptäckte att emoticons med överdrivet stora längdvärden kunde krascha Pidgin.
- CVE-2014-3696
Yves Younan och Richard Johnson upptäckte att felaktigt formaterade Groupwise-meddelanden kunde krascha Pidgin.
- CVE-2014-3698
Thijs Alkemade och Paul Aurich upptäckte att felaktigt formaterade XMPP-meddelanden kunde resultera i avslöjande av minne.
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.10.10-1~deb7u1.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.10.10-1.
Vi rekommenderar att ni uppgraderar era pidgin-paket.
- CVE-2014-3694