Scientific Linux 安全性更新：SL3.x、SL4.x、SL5.x i386/x86_64 上的 pidgin

high Nessus Plugin ID 60589

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

在 Pidgin 於使用「可延伸傳訊和顯示通訊協定」 (XMPP) 時啟動檔案傳輸的方式中發現緩衝區溢位瑕疵。如果 Pidgin 用戶端啟動檔案傳輸，而遠端目標傳送格式有誤的回應，可導致 Pidgin 當機，或可能以執行 Pidgin 之使用者的權限執行任意程式碼。此瑕疵只影響使用 XMPP 的帳戶，例如 Jabber 與 Google Talk。(CVE-2009-1373)

在 Pidgin 的 QQ 通訊協定解密處置程式中發現拒絕服務瑕疵。當 QQ 通訊協定解密封包資訊時，堆積資料可能遭到覆寫，並可能造成 Pidgin 當機。(CVE-2009-1374)

在展開 Pidgin 的 PurpleCircBuffer 物件的方式中發現瑕疵。如果當更多資料送達時緩衝區已滿，儲存在此緩衝區中的資料會損毀。此損毀資料可導致將混淆或誤導性資料顯示給使用者，或可能造成 Pidgin 當機。(CVE-2009-1375)

如果 Pidgin 用戶端收到特製的 MSN 訊息，它可能會以執行 Pidgin 的使用者權限來執行任意程式碼。(CVE-2009-1376)

注意：根據預設，當使用 MSN 帳戶時，只有您好友清單中的使用者能夠傳送訊息給您。這會防止任意 MSN 使用者惡意利用此瑕疵。

必須重新啟動 Pidgin，此更新才會生效。