偵測

Ubuntu 12.04 LTS / 12.10 / 13.10 : pidgin 弱點 (USN-2100-1)

critical Nessus Plugin ID 72386

語系:

概要

遠端 Ubuntu 主機缺少一個或多個安全性相關修補程式。

說明

Thijs Alkemade 和 Robert Vehse 發現 Pidgin 未正確處理 Yahoo! 通訊協定。遠端攻擊者可利用此問題造成 Pidgin 當機,進而導致拒絕服務。
(CVE-2012-6152)

Jaime Breva Ribes 發現 Pidgin 未正確處理 XMPP 通訊協定。遠端攻擊者可利用此問題造成 Pidgin 當機,進而導致拒絕服務。(CVE-2013-6477)

據發現,Pidgin 未正確處理長 URL。遠端攻擊者可利用此問題造成 Pidgin 當機,進而導致拒絕服務。(CVE-2013-6478)

Jacob Appelbaum 發現 Pidgin 未正確處理某些 HTTP 回應。惡意的遠端伺服器或攔截式攻擊者可利用此問題造成 Pidgin 損毀,進而導致拒絕服務。(CVE-2013-6479)

Daniel Atallah 發現 Pidgin 未正確處理 Yahoo! 通訊協定。遠端攻擊者可利用此問題造成 Pidgin 當機,進而導致拒絕服務。(CVE-2013-6481)

Fabian Yamaguchi 和 Christian Wressnegger 發現 Pidgin 未正確處理 MSN 通訊協定。遠端攻擊者可利用此問題造成 Pidgin 當機,進而導致拒絕服務。
(CVE-2013-6482)

Fabian Yamaguchi 和 Christian Wressnegger 發現 Pidgin 未正確處理 XMPP iq 回覆。遠端攻擊者可能利用此問題偽造訊息。(CVE-2013-6483)

據發現,Pidgin 未正確處理 STUN 伺服器回應。遠端攻擊者可利用此問題造成 Pidgin 當機,進而導致拒絕服務。(CVE-2013-6484)

Matt Jones 發現 Pidgin 未正確處理某些區塊 HTTP 回應。惡意的遠端伺服器或攔截式攻擊者可利用此問題造成 Pidgin 損毀,進而導致拒絕服務或可能執行任意程式碼。(CVE-2013-6485)

Yves Younan 與 Ryan Pentney 發現 Pidgin 未正確處理某些 Gadu-Gadu HTTP 訊息。惡意的遠端伺服器或攔截式攻擊者可利用此問題造成 Pidgin 損毀,進而導致拒絕服務或可能執行任意程式碼。
(CVE-2013-6487)

Yves Younan 和 Pawel Janic 發現 Pidgin 未正確處理 MXit 表情符號。遠端攻擊者可利用此問題造成 Pidgin 損毀,進而引發拒絕服務或可能執行任意程式碼。(CVE-2013-6489)

Yves Younan 發現 Pidgin 未正確處理 SIMPLE 標頭。
遠端攻擊者可利用此問題造成 Pidgin 損毀,進而引發拒絕服務或可能執行任意程式碼。
(CVE-2013-6490)

Daniel Atallah 發現 Pidgin 未正確處理 IRC 引數剖析。惡意的遠端伺服器或攔截式攻擊者可利用此問題造成 Pidgin 損毀,進而導致拒絕服務。
(CVE-2014-0020)。

解決方案

更新受影響的 libpurple0 和/或 pidgin 套件。

另請參閱

https://usn.ubuntu.com/2100-1/

Plugin 詳細資訊

嚴重性: Critical

ID: 72386

檔案名稱: ubuntu_USN-2100-1.nasl

版本: 1.10

類型: local

代理程式: unix

已發布: 2014/2/7

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:libpurple0, p-cpe:/a:canonical:ubuntu_linux:pidgin, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.10

必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/2/6

弱點發布日期: 2014/2/6

參考資訊

CVE: CVE-2012-6152, CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020

BID: 65188, 65192, 65195, 65243, 65492

USN: 2100-1