偵測

openSUSE 安全性更新:pidgin (openSUSE-SU-2013:0511-1)

medium Nessus Plugin ID 74934

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

Pidgin 已更新至 2.10.7,可修正 IRC 根本無法在 12.3 版中正常運作的多種安全性問題與錯誤。

變更:

- 新增 pidgin-irc-sasl.patch:將 irc 模組連結至 SASL。
 允許載入 IRC 模組 (bnc#806975)。

- 2.10.7 版的更新 (bnc#804742):

+ Alien hatchery:

- 無變更

+ 一般:

- 當使用以下項目指定無效通訊協定外掛程式時,組態指令碼現在將以狀態 1 結束:

--with-static-prpls 與 --with-dynamic-prpls 引數。
 (pidgin.im#15316)

+ libpurple:

- 修正收到包含超長值的 UPnP 回應時發生的當機。(CVE-2013-0274)

- 當在 GnuTLS 的支援之下構建時,不直接連結至 libgcrypt。(pidgin.im#15329)

- 修正在回應中傳回空白 <URLBase/> 元素之路由器上的 UPnP 對應。(pidgin.im#15373)

- Tcl 外掛程式使用 saner,這是無爭用情形的外掛程式載入。

- 修正 savedstatus-changed 的 Tcl 訊號測試外掛程式。
 (pidgin.im#15443)

+ Pidgin:

- 使 Pidgin 對非 X11 GTK+ (例如 MacPorts 的 +no_x11 變體) 而言更易用。

+ Gadu-Gadu:

- 修正大型聯絡人清單的啟動時損毀情形。好友的虛擬人偶支援將遭到停用,直到 3.0.0 為止。
 (pidgin.im#15226、pidgin.im#14305)

+ IRC:

SASL 驗證的支援。(pidgin.im#13270)

- 在通道加入時列印主題 setter 資訊。
 (pidgin.im#13317)

+ MSN:

- 修正當為某些使用者登入 MSN 時的 SSL 憑證問題。

- 修正當在載入圖示之前移除使用者時的損毀問題。(pidgin.im#15217)

+ MXit:

- 修正遠端 MXit 使用者可能指定待寫入本機檔案路徑的錯誤。
 (CVE-2013-0271)

- 修正 MXit 伺服器或攔截式攻擊可能傳送會造成緩衝區溢位或導致當機或執行遠端程式碼之特製資料的錯誤。(CVE-2013-0272)

- 以不同的色彩顯示再見訊息以將其與正常訊息區別開來。

- 新增鍵入通知的支援。

- 新增關係狀態設定檔屬性的支援。

- 移除對於隱藏號碼的所有參照。

- 如果您已經加入,或仍在擱置邀請的狀態下,則忽略新的加入 GroupChat 的邀請。

- 如果好友未設定狀態訊息或心情,則好友名稱不會在好友清單中垂直置中。

- 修正已收到訊息標記中的字型大小變更解碼。

- 將可傳輸的最大檔案大小增加到 1 MB。

- 當設定 avatar 影像時,不再將其比例縮小至 96x96。

+ Sametime:

- 修正惡意伺服器將超長的使用者 ID 傳送給我們時,Sametime 中發生的損毀情況。(CVE-2013-0273)

+ Yahoo!:

- 修正設定檔/圖片載入程式碼中的重複釋放。
 (pidgin.im#15053)

- 修正擷取伺服器端好友別名。
 (pidgin.im#15381)

+ 外掛程式:

- Voice/Video Settings 外掛程式支援使用 sndio GStreamer 後端。(pidgin.im#14414)

- 修正 Contact Availability Detection 外掛程式中的損毀情形。(pidgin.im#15327)

- 使 Message Notification 外掛程式對非 X11 GTK+ (例如 MacPorts 的 +no_x11 變體) 而言更易用。

+ Windows 特定變更:

- 使用安全旗標編譯 (pidgin.im#15290)

- 安裝程式可更安全地下載 GTK+ Runtime 與 Debug Symbols。(pidgin.im#15277)

- 一些相依性的更新,其中一部分有安全性相關修正。(pidgin.im#14571、pidgin.im#15285、pidgin.im#15286)。ATK 1.32.0-2。Cyrus SASL 2.1.25。expat 2.1.0-1。freetype 2.4.10-1。
 gettext 0.18.1.1-2。Glib 2.28.8-1。libpng 1.4.12-1。
 libxml2 2.9.0-1。NSS 3.13.6 與 NSPR 4.9.2。Pango 1.29.4-1。SILC 1.1.10。zlib 1.2.5-2

- 修補 libmeanwhile (sametime 程式庫) 以修正損毀情形。
 (pidgin.im#12637)

解決方案

更新受影響的 pidgin 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=804742

https://bugzilla.novell.com/show_bug.cgi?id=806975

https://lists.opensuse.org/opensuse-updates/2013-03/msg00080.html

Plugin 詳細資訊

嚴重性: Medium

ID: 74934

檔案名稱: openSUSE-2013-231.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支援的感應器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5.9

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:novell:opensuse:finch, p-cpe:/a:novell:opensuse:finch-debuginfo, p-cpe:/a:novell:opensuse:finch-devel, p-cpe:/a:novell:opensuse:libpurple, p-cpe:/a:novell:opensuse:libpurple-branding-upstream, p-cpe:/a:novell:opensuse:libpurple-debuginfo, p-cpe:/a:novell:opensuse:libpurple-devel, p-cpe:/a:novell:opensuse:libpurple-lang, p-cpe:/a:novell:opensuse:libpurple-meanwhile, p-cpe:/a:novell:opensuse:libpurple-meanwhile-debuginfo, p-cpe:/a:novell:opensuse:libpurple-tcl, p-cpe:/a:novell:opensuse:libpurple-tcl-debuginfo, p-cpe:/a:novell:opensuse:pidgin, p-cpe:/a:novell:opensuse:pidgin-debuginfo, p-cpe:/a:novell:opensuse:pidgin-debugsource, p-cpe:/a:novell:opensuse:pidgin-devel, cpe:/o:novell:opensuse:12.3

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/3/11

參考資訊

CVE: CVE-2013-0271, CVE-2013-0272, CVE-2013-0273, CVE-2013-0274

BID: 57951, 57952, 57954