Debian DSA-2859-1 : pidgin - 數個弱點

critical Nessus Plugin ID 72439

概要

遠端 Debian 主機缺少安全性更新。

說明

在 Pidgin (多重通訊協定即時訊息用戶端) 中發現多個弱點:

- CVE-2013-6477 Jaime Breva Ribes 發現,遠端 XMPP 使用者可傳送時間戳記為近期未來時間的訊息,從而觸發當機。

- CVE-2013-6478 過寬的工具提示視窗可導致 Pidgin 損毀。

- CVE-2013-6479 Jacob Appelbaum 發現,惡意伺服器或「攔截式攻擊者」可傳送格式錯誤的 HTTP 標頭,從而導致拒絕服務。

- CVE-2013-6481 Daniel Atallah 發現,透過格式錯誤的 Yahoo! P2P 訊息可造成 Pidgin 損毀。

- CVE-2013-6482 Fabian Yamaguchi 和 Christian Wressnegger 發現,攻擊者可透過格式錯誤的 MSN 訊息使 Pidgin 當機。

- CVE-2013-6483 Fabian Yamaguchi 和 Christian Wressnegger 發現,透過格式錯誤的 XMPP 訊息可造成 Pidgin 損毀。

- CVE-2013-6484 據發現,讀取 STUN 伺服器回應時的錯誤處理不正確,其可導致當機。

- CVE-2013-6485 Matt Jones 發現,剖析格式錯誤的 HTTP 回應時有一個緩衝區溢位。

- CVE-2013-6487 Yves Younan 和 Ryan Pentney 發現,剖析 Gadu-Gadu 訊息時有一個緩衝區溢位。

- CVE-2013-6489 Yves Younan 和 Pawel Janic 發現,剖析 MXit 表情符號時有一個整數溢位。

- CVE-2013-6490 Yves Younan 發現剖析 SIMPLE 標頭時有一個緩衝區溢位。

- CVE-2014-0020 Daniel Atallah 發現,透過格式錯誤的 IRC 引數可造成 Pidgin 損毀。

解決方案

升級 pidgin 套件。

針對舊的穩定發行版本 (squeeze),目前尚未提供任何直接的反向移植。近期將透過 backports.debian.org 提供修正版套件。

針對穩定的發行版本 (wheezy),這些問題已在 2.10.9-1~deb7u1 版中修正。

另請參閱

https://security-tracker.debian.org/tracker/CVE-2013-6477

https://security-tracker.debian.org/tracker/CVE-2013-6478

https://security-tracker.debian.org/tracker/CVE-2013-6479

https://security-tracker.debian.org/tracker/CVE-2013-6481

https://security-tracker.debian.org/tracker/CVE-2013-6482

https://security-tracker.debian.org/tracker/CVE-2013-6483

https://security-tracker.debian.org/tracker/CVE-2013-6484

https://security-tracker.debian.org/tracker/CVE-2013-6485

https://security-tracker.debian.org/tracker/CVE-2013-6487

https://security-tracker.debian.org/tracker/CVE-2013-6489

https://security-tracker.debian.org/tracker/CVE-2013-6490

https://security-tracker.debian.org/tracker/CVE-2014-0020

https://packages.debian.org/source/wheezy/pidgin

https://www.debian.org/security/2014/dsa-2859

Plugin 詳細資訊

嚴重性: Critical

ID: 72439

檔案名稱: debian_DSA-2859.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2014/2/12

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:pidgin, cpe:/o:debian:debian_linux:7.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/2/10

參考資訊

CVE: CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020

BID: 65188, 65192, 65195, 65243

DSA: 2859