Дата публикации: | 19.08.2009 |
Дата изменения: | 15.09.2009 |
Всего просмотров: | 2123 |
Опасность: | Высокая |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2009-2694 CVE-2009-3025 CVE-2009-3026 |
Вектор эксплуатации: | Удаленная |
Воздействие: |
Отказ в обслуживании Раскрытие важных данных Компрометация системы |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Pidgin 2.x |
Уязвимые версии: Pidgin версии до 2.6.1
Описание: 1. Уязвимость существует из-за ошибки в функции msn_slplink_process_msg() при обработке MSN SLP сообщений. Удаленный пользователь может с помощью специально сформированного MSN SLP сообщения вызвать повреждение памяти и скомпрометировать целевую систему. Уязвимость распространяется на версию 2.5.8, и, возможно, другие версии. 2. Уязвимость существует из-за того, что приложение разрешает подключения к Jabberd серверам без шифрования (даже при включенной настройке Require SSL/TLS), которые не полностью совместимы с XMPP спецификацией. Удаленный пользователь может перехватить данные, передаваемые во время XMPP сессии. Уязвимость обнаружена в версиях до 2.6.0. 3. Уязвимость существует из-за ошибки при обработке ссылок, полученных по протоколу Yahoo Messenger. Удаленный пользователь может аварийно завершить работу приложения. Уязвимость обнаружена в версии 2.6.0. URL производителя: pidgin.im/pidgin/home/ Решение: Установите последнюю версию 2.6.1 с сайта производителя. Журнал изменений:
15.09.2009 |
|
Ссылки: |
http://www.pidgin.im/news/security/?id=34 http://www.coresecurity.com/content/libpurple-arbitrary-write http://www.pidgin.im/news/security/?id=35 http://www.pidgin.im/news/security/?id=36 http://developer.pidgin.im/ticket/8131 http://developer.pidgin.im/ticket/9946 |