偵測

openSUSE 安全性更新:pidgin (openSUSE-SU-2014:1376-1)

medium Nessus Plugin ID 79101

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

此更新中修正了下列問題:

+ 一般:

- 驗證 SSL/TLS 憑證時,檢查基本的限制延伸模組。這可修正一個安全漏洞,該漏洞允許惡意的攔截式攻擊模擬 IM 伺服器或任何其他 https 端點。NSS 和 GnuTLS 外掛程式都會受到這個問題影響 (CVE-2014-3694、 boo#902495)。

- 使用 NSS 外掛程式執行 SSL 時,允許並偏好 TLS 1.2 和 1.1 (im#15909)。

+ libpurple3 相容性:

- 加密帳戶的密碼會保留到設定新的密碼為止。

- 修正載入 Google Talk 和 Facebook XMPP 帳戶。

+ Groupwise:修正剖析伺服器訊息時可能會造成的遠端當機,該訊息會指示應配置大量記憶體 (CVE-2014-3696、boo#902410)。

+ IRC:修正搭配 OTR 使用 /me 命令時,可能會洩漏未加密資料的問題 (im#15750)。

+ MXit:修正剖析格式錯誤的表情符號回應時,可能會造成的遠端當機 (CVE-2014-3695、boo#902409)。

+ XMPP:

- 修正潛在的資訊洩漏問題,在該問題中,惡意的 XMPP 伺服器甚或惡意的遠端使用者可利用特製的 XMPP 訊息,導致 libpurple 傳送含有任意記憶體的 XMPP 訊息 (CVE-2014-3698、boo#902408)。

+ Yahoo:修正使用 GnuTLS 程式庫進行 TLS 連線時的登入問題 (im#16172、boo#874606)。

解決方案

更新受影響的 pidgin 套件。

另請參閱

https://bugzilla.opensuse.org/show_bug.cgi?id=853038

https://bugzilla.opensuse.org/show_bug.cgi?id=874606

https://bugzilla.opensuse.org/show_bug.cgi?id=902408

https://bugzilla.opensuse.org/show_bug.cgi?id=902409

https://bugzilla.opensuse.org/show_bug.cgi?id=902410

https://bugzilla.opensuse.org/show_bug.cgi?id=902495

https://lists.opensuse.org/opensuse-updates/2014-11/msg00023.html

Plugin 詳細資訊

嚴重性: Medium

ID: 79101

檔案名稱: openSUSE-2014-635.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2014/11/11

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.0

CVSS v2

風險因素: Medium

基本分數: 6.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

弱點資訊

CPE: cpe:/o:novell:opensuse:13.1, p-cpe:/a:novell:opensuse:finch, p-cpe:/a:novell:opensuse:finch-debuginfo, p-cpe:/a:novell:opensuse:finch-devel, p-cpe:/a:novell:opensuse:libpurple, p-cpe:/a:novell:opensuse:libpurple-branding-opensuse, p-cpe:/a:novell:opensuse:libpurple-branding-upstream, p-cpe:/a:novell:opensuse:libpurple-debuginfo, p-cpe:/a:novell:opensuse:libpurple-devel, p-cpe:/a:novell:opensuse:libpurple-lang, p-cpe:/a:novell:opensuse:libpurple-meanwhile, p-cpe:/a:novell:opensuse:libpurple-meanwhile-debuginfo, p-cpe:/a:novell:opensuse:libpurple-tcl, p-cpe:/a:novell:opensuse:libpurple-tcl-debuginfo, p-cpe:/a:novell:opensuse:pidgin, p-cpe:/a:novell:opensuse:pidgin-debuginfo, p-cpe:/a:novell:opensuse:pidgin-debugsource, p-cpe:/a:novell:opensuse:pidgin-devel, p-cpe:/a:novell:opensuse:pidgin-otr, p-cpe:/a:novell:opensuse:pidgin-otr-debuginfo, p-cpe:/a:novell:opensuse:pidgin-otr-debugsource, cpe:/o:novell:opensuse:12.3

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2014/10/31

參考資訊

CVE: CVE-2014-3694, CVE-2014-3695, CVE-2014-3696, CVE-2014-3697, CVE-2014-3698