Множественные уязвимости в Pidgin

Дата публикации:
28.03.2014
Дата изменения:
28.03.2014
Всего просмотров:
1123
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
5
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.6/Temporal:5.6
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4
CVE ID:
CVE-2013-6485
CVE-2013-6486
CVE-2013-6487
CVE-2013-6489
CVE-2013-6490
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Pidgin 2.x
Уязвимые версии: Pidgin 2.x, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.

1. Целочисленное переполнение в функции "process_chunked_data()" в файле libpurple/util.c при обработке запросов HTTP. Удаленный пользователь может вызвать переполнение буфера памяти.

2. Уязвимость существует из-за ошибки неполного временного решения проблемы CVE-2011-3185.
Подробное описание уязвимости доступно по адресу:
http://www.securitylab.ru/vulnerability/406958.php№3

3. Целочисленное переполнение в функции gg_http_watch_fd()" в файле libpurple/protocols/gg/lib/http.c. Удаленный пользователь может с помощью специально сформированного поля HTTP Content-Length вызвать переполнение буфера памяти.

4. Уязвимость существует из-за ошибки значений расширения в функции "asn_getUtf8()" в файле libpurple/protocols/mxit/markup.c при обработке MXit смайликов. Удаленный пользователь может вызвать переполнение буфера памяти.

5. Целочисленное переполнение в функции "sipmsg_parse_header()" в файле libpurple/protocols/simple/simple.c. Удаленный пользователь может с помощью специально сформированного поля длины тела вызвать переполнение буфера памяти.

URL производителя: http://pidgin.im

Решение: Установите последнюю версию 2.10.8 с сайта производителя.

Ссылки: http://www.pidgin.im/news/security/?id=80
http://www.pidgin.im/news/security/?id=81
http://www.pidgin.im/news/security/?id=82
http://www.pidgin.im/news/security/?id=83
http://www.pidgin.im/news/security/?id=84

или введите имя

CAPTCHA