Множественные уязвимости в Pidgin

Дата публикации:
19.08.2009
Дата изменения:
15.09.2009
Всего просмотров:
1869
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-2694
CVE-2009-3025
CVE-2009-3026
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Pidgin 2.x
Уязвимые версии: Pidgin версии до 2.6.1

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки в функции msn_slplink_process_msg() при обработке MSN SLP сообщений. Удаленный пользователь может с помощью специально сформированного MSN SLP сообщения вызвать повреждение памяти и скомпрометировать целевую систему. Уязвимость распространяется на версию 2.5.8, и, возможно, другие версии.

2. Уязвимость существует из-за того, что приложение разрешает подключения к Jabberd серверам без шифрования (даже при включенной настройке Require SSL/TLS), которые не полностью совместимы с XMPP спецификацией. Удаленный пользователь может перехватить данные, передаваемые во время XMPP сессии. Уязвимость обнаружена в версиях до 2.6.0.

3. Уязвимость существует из-за ошибки при обработке ссылок, полученных по протоколу Yahoo Messenger. Удаленный пользователь может аварийно завершить работу приложения. Уязвимость обнаружена в версии 2.6.0.

URL производителя: pidgin.im/pidgin/home/

Решение: Установите последнюю версию 2.6.1 с сайта производителя.

Журнал изменений:

15.09.2009
Добавлено описание уязвимостей #2-3, изменена секция «Решение», изменено название уязвимости.

Ссылки: http://www.pidgin.im/news/security/?id=34
http://www.coresecurity.com/content/libpurple-arbitrary-write
http://www.pidgin.im/news/security/?id=35
http://www.pidgin.im/news/security/?id=36
http://developer.pidgin.im/ticket/8131
http://developer.pidgin.im/ticket/9946

или введите имя

CAPTCHA