Debian DSA-2859-1 : pidgin - 數個弱點
critical Nessus Plugin ID 72439
語系:
概要
遠端 Debian 主機缺少安全性更新。說明
在 Pidgin (多重通訊協定即時訊息用戶端) 中發現多個弱點:- CVE-2013-6477 Jaime Breva Ribes 發現,遠端 XMPP 使用者可傳送時間戳記為近期未來時間的訊息,從而觸發當機。
- CVE-2013-6478 過寬的工具提示視窗可導致 Pidgin 損毀。
- CVE-2013-6479 Jacob Appelbaum 發現,惡意伺服器或「攔截式攻擊者」可傳送格式錯誤的 HTTP 標頭,從而導致拒絕服務。
- CVE-2013-6481 Daniel Atallah 發現,透過格式錯誤的 Yahoo! P2P 訊息可造成 Pidgin 損毀。
- CVE-2013-6482 Fabian Yamaguchi 和 Christian Wressnegger 發現,攻擊者可透過格式錯誤的 MSN 訊息使 Pidgin 當機。
- CVE-2013-6483 Fabian Yamaguchi 和 Christian Wressnegger 發現,透過格式錯誤的 XMPP 訊息可造成 Pidgin 損毀。
- CVE-2013-6484 據發現,讀取 STUN 伺服器回應時的錯誤處理不正確,其可導致當機。
- CVE-2013-6485 Matt Jones 發現,剖析格式錯誤的 HTTP 回應時有一個緩衝區溢位。
- CVE-2013-6487 Yves Younan 和 Ryan Pentney 發現,剖析 Gadu-Gadu 訊息時有一個緩衝區溢位。
- CVE-2013-6489 Yves Younan 和 Pawel Janic 發現,剖析 MXit 表情符號時有一個整數溢位。
- CVE-2013-6490 Yves Younan 發現剖析 SIMPLE 標頭時有一個緩衝區溢位。
- CVE-2014-0020 Daniel Atallah 發現,透過格式錯誤的 IRC 引數可造成 Pidgin 損毀。
解決方案
升級 pidgin 套件。針對舊的穩定發行版本 (squeeze),目前尚未提供任何直接的反向移植。近期將透過 backports.debian.org 提供修正版套件。
針對穩定的發行版本 (wheezy),這些問題已在 2.10.9-1~deb7u1 版中修正。
另請參閱
https://security-tracker.debian.org/tracker/CVE-2013-6477
https://security-tracker.debian.org/tracker/CVE-2013-6478
https://security-tracker.debian.org/tracker/CVE-2013-6479
https://security-tracker.debian.org/tracker/CVE-2013-6481
https://security-tracker.debian.org/tracker/CVE-2013-6482
https://security-tracker.debian.org/tracker/CVE-2013-6483
https://security-tracker.debian.org/tracker/CVE-2013-6484
https://security-tracker.debian.org/tracker/CVE-2013-6485
https://security-tracker.debian.org/tracker/CVE-2013-6487
https://security-tracker.debian.org/tracker/CVE-2013-6489
https://security-tracker.debian.org/tracker/CVE-2013-6490
https://security-tracker.debian.org/tracker/CVE-2014-0020
Plugin 詳細資訊
嚴重性: Critical
ID: 72439
檔案名稱: debian_DSA-2859.nasl
版本: 1.7
類型: local
代理程式: unix
已發布: 2014/2/12
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:pidgin, cpe:/o:debian:debian_linux:7.0
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/2/10
參考資訊
CVE: CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020
BID: 65188, 65192, 65195, 65243
DSA: 2859