遠端 Solaris 系統缺少處理安全性更新的必要修補程式：

- 在 2.10.8 版之前的 Pidgin 中，libpurple 中的 Yahoo! 通訊協定外掛程式未正確驗證 UTF-8 資料，其允許遠端攻擊者透過特製的位元組序列造成拒絕服務 (應用程式損毀)。
 (CVE-2012-6152)

- 在 2.10.7 版之前的 Pidgin 中，libpurple 中的 MXit 通訊協定外掛程式可能允許遠端攻擊者透過特製的 (1) mxit 或 (2) mxit/imagestrips 路徑名稱建立或覆寫檔案。(CVE-2013-0271)

- 在 2.10.7 版之前的 Pidgin 中，libpurple 的 MXit 通訊協定外掛程式之 http.c 內的緩衝區溢位，會允許遠端伺服器透過長 HTTP 標頭執行任意程式碼。
 (CVE-2013-0272)

- 在 2.10.7 版之前的 Pidgin 中，libpurple 之 Sametime 通訊協定外掛程式內的 sametime.c 未正確終止長使用者 ID，其允許遠端伺服器透過特製的封包造成拒絕服務 (應用程式損毀)。
 (CVE-2013-0273)

- 在 2.10.7 版之前的 Pidgin 中，libpurple 內的 upnp.c 未正確終止 UPnP 回應中的長字串，其允許遠端攻擊者利用本機網路的存取權造成拒絕服務 (應用程式損毀)。(CVE-2013-0274)

- 在 2.10.8 版之前的 Pidgin 中，libpurple 內的多個整數正負號錯誤允許遠端攻擊者透過 XMPP 訊息中的特製時間戳記值造成拒絕服務 (應用程式損毀)。(CVE-2013-6477)

- 在 2.10.8 版之前的 Pidgin 中，gtkimhtml.c 未正確與寬 Pango 配置的基礎程式庫支援互動，其允許使用者協助的遠端攻擊者透過使用工具提示檢查的長 URL 造成拒絕服務 (應用程式損毀)。(CVE-2013-6478)

- 在 2.10.8 之前的 Pidgin 中，libpurple 內的 util.c 未正確針對與 Content-Length 標頭不一致的 HTTP 回應配置記憶體，其允許遠端 HTTP 伺服器透過特製回應造成拒絕服務 (應用程式損毀)。
 (CVE-2013-6479)

- 在 2.10.8 版之前的 Pidgin 中，libpurple/protocols/yahoo/libymsg.c 允許遠端攻擊者透過具有特製長度欄位的 Yahoo! P2P 訊息觸發緩衝區過度讀取，進而造成拒絕服務 (損毀)。
 (CVE-2013-6481)

- 2.10.8 版之前的 Pidgin 允許遠端 MSN 伺服器透過特製的 (1) SOAP 回應、(2) OIM XML 回應或 (3) Content-Length 標頭造成拒絕服務 (NULL 指標解除參照與損毀)。(CVE-2013-6482)

- 在 2.10.8 版之前的 Pidgin 中，libpurple 中的 XMPP 通訊協定外掛程式無法正確確定 iq 回覆中的寄件者地址是否與 iq 要求中的收件者地址一致，其允許遠端攻擊者透過特製的回覆偽造 iq 流量或造成拒絕服務 (NULL 指標解除參照與應用程式損毀)。
 (CVE-2013-6483)

- 在 2.10.8 版之前的 Pidgin 中，libpurple 內的 STUN 通訊協定實作允許遠端 STUN 伺服器觸發通訊端讀取錯誤，進而造成拒絕服務 (超出邊界寫入操作與應用程式損毀)。
 (CVE-2013-6484)

- 在 2.10.8 版之前的 Pidgin 中，libpurple 之 util.c 內的緩衝區溢位允許遠端 HTTP 伺服器透過區塊傳輸編碼資料中的無效區塊大小欄位造成拒絕服務 (應用程式損毀)，或可能造成其他不明影響。(CVE-2013-6485)

- 在 Windows 上 2.10.8 版之前的 Pidgin 中，gtkutils.c 允許使用者協助的遠端攻擊者透過包含 file: URL 的訊息 (其於建構 explorer.exe 命令期間遭到不當處理) 執行任意程式。注意：此弱點之所以存在，是因為 CVE-2011-3185 的修正不完整。
 (CVE-2013-6486)

- 在 2.10.8 版之前的 Pidgin 中，Gadu-Gadu (gg) 剖析器之 libpurple/protocols/gg/lib/http.c 內的整數溢位允許遠端攻擊者透過大 Content-Length 值觸發緩衝區溢位，進而造成不明影響。(CVE-2013-6487)

- 在 2.10.8 版之前的 Pidgin 中，MXit 功能的整數正負號錯誤允許遠端攻擊者透過特製的表情符號值觸發整數溢位及緩衝區溢位，進而造成拒絕服務 (分割錯誤)。(CVE-2013-6489)

- 在 2.10.8 版之前的 Pidgin 中，SIMPLE 通訊協定功能允許遠端攻擊者透過負 Content-Length 標頭觸發緩衝區溢位，進而造成不明影響。(CVE-2013-6490)

- 在 2.10.8 版之前的 Pidgin 中，libpurple 的 IRC 通訊協定外掛程式未驗證引數計數，其允許遠端 IRC 伺服器透過特製的訊息造成拒絕服務 (應用程式損毀)。
 (CVE-2014-0020)

遠端主機上安裝的 Pidgin 版本比 2.10.8 版舊。因此可能受到以下弱點影響：

- Pango 的隨附版本存有一個錯誤，可導致應用程式在轉譯字型及嘗試顯示某些 Unicode 字元時發生損毀。

- 存在與處理不明字元、不正確字元編碼、不正確 XMPP 時間戳記、將指標停留在長 URL 上、不明 HTTP 回應、Yahoo! P2P 訊息、STUN 回應及 IRC 引數相關的多個錯誤，可造成應用程式損毀及拒絕服務情形。
 (CVE-2012-6152、CVE-2013-6477、CVE-2013-6478、CVE-2013-6479、CVE-2013-6481、CVE-2013-6484、CVE-2014-0020)

- 存在與處理 MSN SOAP、MSN OIM 與 MSN 標頭內容相關的多個錯誤，可造成應用程式在解除參照 NULL 指標時發生損毀。
 (CVE-2013-6482)

- 存在一個與 XMPP 內容相關的錯誤，可使某些 'iq' 回覆的 'from' 部分不被驗證。
 (CVE-2013-6483)

- 存在與剖析區塊及 Gadu-Gadu HTTP 內容、MXit 表情符號及 SIMPLE 標頭相關的多個錯誤，可允許緩衝區溢位。
 (CVE-2013-6485、CVE-2013-6487、CVE-2013-6489、CVE-2013-6490)

- 應用程式未針對不受信任之可執行內容的連結進行保護。(CVE-2013-6486)

pidgin Instant Messenger 已更新，修正了多種安全性問題：

- 剖析 IRC 引數時，發生可從遠端觸發的當機。
 (CVE-2014-0020)

- 剖析 SIMPLE 標頭時發生緩衝區溢位問題。
 (CVE-2013-6490)

- 剖析 Mxit 表情符號時發生緩衝區溢位問題。
 (CVE-2013-6489)

- 剖析 Gadu-Gadu HTTP 時發生緩衝區溢位問題。
 (CVE-2013-6487)

- Pidgin 使用指向未受信任可執行檔的可點擊連結問題。
 (CVE-2013-6486)

- 剖析區塊 HTTP 回應時發生緩衝區溢位問題。
 (CVE-2013-6485)

- 從 STUN 伺服器讀取回應時發生當機。(CVE-2013-6484)

- XMPP 未針對某些 iq 回覆驗證 'from' 的問題。
 (CVE-2013-6483)

- 剖析 MSN 中的 SOAP 資料時發生 NULL 指標解除參照問題。
 (CVE-2013-6482)

- 剖析 MSN 中的 OIM 資料時發生 NULL 指標解除參照問題。
 (CVE-2013-6482)

- 剖析 MSN 中的標頭時發生 NULL 指標解除參照問題。
 (CVE-2013-6482)

- 讀取 Yahoo! P2P 訊息時發生遠端當機。(CVE-2013-6481)

- 剖析 HTTP 回應時發生遠端當機。(CVE-2013-6479)

- 將指標暫留在長 URL 上時發生當機。
 (CVE-2013-6478)

- 處理錯誤 XMPP 時間戳記時發生當機。(CVE-2013-6477)

- 因不正確的字元編碼而發生 Yahoo! 遠端損毀。
 (CVE-2012-6152)

Thijs Alkemade 和 Robert Vehse 發現 Pidgin 未正確處理 Yahoo! 通訊協定。遠端攻擊者可利用此問題造成 Pidgin 當機，進而導致拒絕服務。
(CVE-2012-6152)

Jaime Breva Ribes 發現 Pidgin 未正確處理 XMPP 通訊協定。遠端攻擊者可利用此問題造成 Pidgin 當機，進而導致拒絕服務。(CVE-2013-6477)

據發現，Pidgin 未正確處理長 URL。遠端攻擊者可利用此問題造成 Pidgin 當機，進而導致拒絕服務。(CVE-2013-6478)

Jacob Appelbaum 發現 Pidgin 未正確處理某些 HTTP 回應。惡意的遠端伺服器或攔截式攻擊者可利用此問題造成 Pidgin 損毀，進而導致拒絕服務。(CVE-2013-6479)

Daniel Atallah 發現 Pidgin 未正確處理 Yahoo! 通訊協定。遠端攻擊者可利用此問題造成 Pidgin 當機，進而導致拒絕服務。(CVE-2013-6481)

Fabian Yamaguchi 和 Christian Wressnegger 發現 Pidgin 未正確處理 MSN 通訊協定。遠端攻擊者可利用此問題造成 Pidgin 當機，進而導致拒絕服務。
(CVE-2013-6482)

Fabian Yamaguchi 和 Christian Wressnegger 發現 Pidgin 未正確處理 XMPP iq 回覆。遠端攻擊者可能利用此問題偽造訊息。(CVE-2013-6483)

據發現，Pidgin 未正確處理 STUN 伺服器回應。遠端攻擊者可利用此問題造成 Pidgin 當機，進而導致拒絕服務。(CVE-2013-6484)

Matt Jones 發現 Pidgin 未正確處理某些區塊 HTTP 回應。惡意的遠端伺服器或攔截式攻擊者可利用此問題造成 Pidgin 損毀，進而導致拒絕服務或可能執行任意程式碼。(CVE-2013-6485)

Yves Younan 與 Ryan Pentney 發現 Pidgin 未正確處理某些 Gadu-Gadu HTTP 訊息。惡意的遠端伺服器或攔截式攻擊者可利用此問題造成 Pidgin 損毀，進而導致拒絕服務或可能執行任意程式碼。
(CVE-2013-6487)

Yves Younan 和 Pawel Janic 發現 Pidgin 未正確處理 MXit 表情符號。遠端攻擊者可利用此問題造成 Pidgin 損毀，進而引發拒絕服務或可能執行任意程式碼。(CVE-2013-6489)

Yves Younan 發現 Pidgin 未正確處理 SIMPLE 標頭。
遠端攻擊者可利用此問題造成 Pidgin 損毀，進而引發拒絕服務或可能執行任意程式碼。
(CVE-2013-6490)

Daniel Atallah 發現 Pidgin 未正確處理 IRC 引數剖析。惡意的遠端伺服器或攔截式攻擊者可利用此問題造成 Pidgin 損毀，進而導致拒絕服務。
(CVE-2014-0020)。

現已提供適用於 Slackware 13.0、13.1、13.37、14.0、14.1 和最新版本的新 pidgin 套件，可修正安全性問題。

2.10.9 的更新

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

來自 Red Hat 安全性公告 2014:0139：

現已提供適用於 Red Hat Enterprise Linux 5 和 6 的更新版 pidgin 套件，可修正多個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Pidgin 是即時訊息程式，可同時在多個即時訊息網路上登入多個帳戶。

在 Pidgin 處理特定 HTTP 回應的方式中發現堆積型緩衝區溢位瑕疵。惡意的伺服器可傳送特製的 HTTP 回應而導致 Pidgin 當機，或可能利用執行 Pidgin 的使用者權限來執行任意程式碼。(CVE-2013-6485)

在 Pidgin 的多個通訊協定外掛程式 (Gadu-Gadu、MXit、SIMPLE) 中發現數個堆積型緩衝區溢位瑕疵。惡意的伺服器可傳送特製的訊息而導致 Pidgin 當機，或可能利用執行 Pidgin 的使用者權限來執行任意程式碼。(CVE-2013-6487、CVE-2013-6489、CVE-2013-6490)

在 Pidgin 的多個通訊協定外掛程式 (Yahoo!、XMPP、MSN、stun、IRC) 中發現多個拒絕服務瑕疵。遠端攻擊者可利用這些瑕疵，傳送特製的訊息而導致 Pidgin 當機。(CVE-2012-6152、CVE-2013-6477、CVE-2013-6481、CVE-2013-6482、CVE-2013-6484、CVE-2014-0020)

據發現，Pidgin XMPP 通訊協定外掛程式未驗證「iq」回覆的來源。遠端攻擊者可利用此瑕疵偽造‘iq’回覆，進而可能導致插入假資料，或是透過 NULL 指標解除參照來造成 Pidgin 當機。(CVE-2013-6483)

在 Pidgin 剖析特定 HTTP 回應標頭的方式中發現一個瑕疵。遠端攻擊者可利用此瑕疵，透過特製的 HTTP 回應標頭來使 Pidgin 當機。(CVE-2013-6479)

據發現，滑鼠游標停留在很長的 URL 上方時，Pidgin 會當機。遠端攻擊者可利用此瑕疵，傳送含有長 URL 字串的訊息來使 Pidgin 當機。(CVE-2013-6478)

Red Hat 要感謝 Pidgin 專案報告這些問題。上游確認 Tor Project 的 Thijs Alkemade、Robert Vehse、Jaime Breva Ribes、Jacob Appelbaum；哥廷根大學的 Daniel Atallah、 Fabian Yamaguchi 和 Christian Wressnegger； Volvent 的 Matt Jones；以及 Sourcefire VRT 的 Yves Younan、Ryan Pentney 和 Pawel Janic 為這些問題的原始報告者。

建議所有 pidgin 使用者皆升級至這些更新版套件，其中包含可更正這些問題的反向移植修補程式。必須重新啟動 Pidgin，此更新才會生效。

現已提供適用於 Red Hat Enterprise Linux 5 和 6 的更新版 pidgin 套件，可修正多個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Pidgin 是即時訊息程式，可同時在多個即時訊息網路上登入多個帳戶。

在 Pidgin 處理特定 HTTP 回應的方式中發現堆積型緩衝區溢位瑕疵。惡意的伺服器可傳送特製的 HTTP 回應而導致 Pidgin 當機，或可能利用執行 Pidgin 的使用者權限來執行任意程式碼。(CVE-2013-6485)

在 Pidgin 的多個通訊協定外掛程式 (Gadu-Gadu、MXit、SIMPLE) 中發現數個堆積型緩衝區溢位瑕疵。惡意的伺服器可傳送特製的訊息而導致 Pidgin 當機，或可能利用執行 Pidgin 的使用者權限來執行任意程式碼。(CVE-2013-6487、CVE-2013-6489、CVE-2013-6490)

在 Pidgin 的多個通訊協定外掛程式 (Yahoo!、XMPP、MSN、stun、IRC) 中發現多個拒絕服務瑕疵。遠端攻擊者可利用這些瑕疵，傳送特製的訊息而導致 Pidgin 當機。(CVE-2012-6152、CVE-2013-6477、CVE-2013-6481、CVE-2013-6482、CVE-2013-6484、CVE-2014-0020)

據發現，Pidgin XMPP 通訊協定外掛程式未驗證「iq」回覆的來源。遠端攻擊者可利用此瑕疵偽造‘iq’回覆，進而可能導致插入假資料，或是透過 NULL 指標解除參照來造成 Pidgin 當機。(CVE-2013-6483)

在 Pidgin 剖析特定 HTTP 回應標頭的方式中發現一個瑕疵。遠端攻擊者可利用此瑕疵，透過特製的 HTTP 回應標頭來使 Pidgin 當機。(CVE-2013-6479)

據發現，滑鼠游標停留在很長的 URL 上方時，Pidgin 會當機。遠端攻擊者可利用此瑕疵，傳送含有長 URL 字串的訊息來使 Pidgin 當機。(CVE-2013-6478)

Red Hat 要感謝 Pidgin 專案報告這些問題。上游確認 Tor Project 的 Thijs Alkemade、Robert Vehse、Jaime Breva Ribes、Jacob Appelbaum；哥廷根大學的 Daniel Atallah、 Fabian Yamaguchi 和 Christian Wressnegger； Volvent 的 Matt Jones；以及 Sourcefire VRT 的 Yves Younan、Ryan Pentney 和 Pawel Janic 為這些問題的原始報告者。

建議所有 pidgin 使用者皆升級至這些更新版套件，其中包含可更正這些問題的反向移植修補程式。必須重新啟動 Pidgin，此更新才會生效。

在 Pidgin 處理特定 HTTP 回應的方式中發現堆積型緩衝區溢位瑕疵。惡意的伺服器可傳送特製的 HTTP 回應而導致 Pidgin 當機，或可能利用執行 Pidgin 的使用者權限來執行任意程式碼。(CVE-2013-6485)

在 Pidgin 的多個通訊協定外掛程式 (Gadu-Gadu、MXit、SIMPLE) 中發現數個堆積型緩衝區溢位瑕疵。惡意的伺服器可傳送特製的訊息而導致 Pidgin 當機，或可能利用執行 Pidgin 的使用者權限來執行任意程式碼。(CVE-2013-6487、CVE-2013-6489、CVE-2013-6490)

在 Pidgin 的多個通訊協定外掛程式 (Yahoo!、XMPP、MSN、stun、IRC) 中發現多個拒絕服務瑕疵。遠端攻擊者可利用這些瑕疵，傳送特製的訊息而導致 Pidgin 當機。(CVE-2012-6152、CVE-2013-6477、CVE-2013-6481、CVE-2013-6482、CVE-2013-6484、CVE-2014-0020)

據發現，Pidgin XMPP 通訊協定外掛程式未驗證「iq」回覆的來源。遠端攻擊者可利用此瑕疵偽造‘iq’回覆，進而可能導致插入假資料，或是透過 NULL 指標解除參照來造成 Pidgin 當機。(CVE-2013-6483)

在 Pidgin 剖析特定 HTTP 回應標頭的方式中發現一個瑕疵。遠端攻擊者可利用此瑕疵，透過特製的 HTTP 回應標頭來使 Pidgin 當機。(CVE-2013-6479)

據發現，滑鼠游標停留在很長的 URL 上方時，Pidgin 會當機。遠端攻擊者可利用此瑕疵，傳送含有長 URL 字串的訊息來使 Pidgin 當機。(CVE-2013-6478)

必須重新啟動 Pidgin，此更新才會生效。

在 Pidgin (多重通訊協定即時訊息用戶端) 中發現多個弱點：

- CVE-2013-6477 Jaime Breva Ribes 發現，遠端 XMPP 使用者可傳送時間戳記為近期未來時間的訊息，從而觸發當機。

- CVE-2013-6478 過寬的工具提示視窗可導致 Pidgin 損毀。

- CVE-2013-6479 Jacob Appelbaum 發現，惡意伺服器或「攔截式攻擊者」可傳送格式錯誤的 HTTP 標頭，從而導致拒絕服務。

- CVE-2013-6481 Daniel Atallah 發現，透過格式錯誤的 Yahoo! P2P 訊息可造成 Pidgin 損毀。

- CVE-2013-6482 Fabian Yamaguchi 和 Christian Wressnegger 發現，攻擊者可透過格式錯誤的 MSN 訊息使 Pidgin 當機。

- CVE-2013-6483 Fabian Yamaguchi 和 Christian Wressnegger 發現，透過格式錯誤的 XMPP 訊息可造成 Pidgin 損毀。

- CVE-2013-6484 據發現，讀取 STUN 伺服器回應時的錯誤處理不正確，其可導致當機。

- CVE-2013-6485 Matt Jones 發現，剖析格式錯誤的 HTTP 回應時有一個緩衝區溢位。

- CVE-2013-6487 Yves Younan 和 Ryan Pentney 發現，剖析 Gadu-Gadu 訊息時有一個緩衝區溢位。

- CVE-2013-6489 Yves Younan 和 Pawel Janic 發現，剖析 MXit 表情符號時有一個整數溢位。

- CVE-2013-6490 Yves Younan 發現剖析 SIMPLE 標頭時有一個緩衝區溢位。

- CVE-2014-0020 Daniel Atallah 發現，透過格式錯誤的 IRC 引數可造成 Pidgin 損毀。

遠端主機受到 GLSA-201405-22 中所述的弱點影響 (Pidgin：多個弱點)

在 Pidgin 中發現多個弱點。如需詳細資訊，請檢閱以下提及的 CVE 識別碼。
 影響：

遠端攻擊者可能以 Pidgin 處理程序的權限執行任意程式碼、造成拒絕服務情況、覆寫檔案或偽造流量。
 因應措施：

目前尚無已知的因應措施。

- 2.10.8 版的更新 (bnc#861019)：

+ 一般：Python build 指令碼和範例外掛程式現在與 Python 3 相容 (pidgin.im#15624)。

+ libpurple：

- 修正 libpurple 嘗試從 STUN 伺服器讀取回覆時如若出現錯誤，可能造成的損毀情形 (CVE-2013-6484)。

- 修正剖析格式錯誤的 HTTP 回應時，可能造成損毀情形 (CVE-2013-6479)。

- 修正使用區塊傳輸編碼剖析格式錯誤的 HTTP 回應時所出現的緩衝區溢位問題 (CVE-2013-6485)。

- 使用負 Content-Length 更妥善地處理 HTTP Proxy 回應。

- 修正使用 libnss 對不含主體之 SSL 憑證的處理。

- 修正在遙遠的未來使用 libnss 時，對含時間戳記之 SSL 憑證的處理 (pidgin.im#15586)。

- 針對所有 HTTP 擷取，強制執行下載大小上限。

+ Pidgin：

- 修正顯示長 URL 的工具提示時所出現的損毀情形 (CVE-2013-6478)。

- 更妥善地處理長度超過 1000 個字母的 URL。

- 修正笑臉符號主題中對多位元組 UTF-8 字元的處理 (pidgin.im#15756)。

+ AIM：修正不受信任的憑證錯誤。

+ AIM 和 ICQ：修正在 Direct IM 工作階段中收到格式錯誤的訊息時可能發生的損毀情形。

+ Gadu-Gadu：

- 修正遠端程式碼執行可能的緩衝區溢位情形。僅可透過 Gadu-Gadu 伺服器或攔截式攻擊觸發 (CVE-2013-6487)。

- 已停用從伺服器匯入或匯出至伺服器的好友清單。

- 已停用新帳戶註冊與密碼變更選項。

+ IRC：

- 修正惡意伺服器或攔截式攻擊因為未與多種訊息一起傳送足夠的引數而可能觸發損毀的錯誤 (CVE-2014-0020)。

- 修正未正確設定 IRC 初始狀態的錯誤。

- 修正使用 Cyrus SASL 支援編譯 libpurple 時無法使用 IRC 的錯誤 (pidgin.im#15517)。

+ MSN：

- 修正 MSN 中剖析標頭時的 NULL 指標解除參照 (CVE-2013-6482)。

- 修正 MSN 中剖析 OIM 資料時的 NULL 指標解除參照 (CVE-2013-6482)。

- 修正 MSN 中剖析 SOAP 資料時的 NULL 指標解除參照 (CVE-2013-6482)。

- 修正傳送非常長的訊息時可能的損毀情形。無法從遠端觸發。

+ MXit：

- 修正遠端程式碼執行可能的緩衝區溢位情形 (CVE-2013-6487)。

- 修正使用者中斷連線後可能發生的 sporadic 損毀情形。

- 修正嘗試透過搜尋結果新增連絡人時發生的損毀情形。

- 檔案傳輸失敗時，顯示錯誤訊息。

- 修正使用 InstantBird 編譯的問題。

- 修正某些自訂表情符號的顯示。

+ SILC：在白板工作階段中正確設定白板尺寸。

+ SIMPLE：修正遠端程式碼執行可能發生的緩衝區溢位情形 (CVE-2013-6487)。

+ XMPP：

- 驗證 iq 要求的「寄件者」位址是否符合「收件者」位址，藉以防止偽造 iq 回覆 (CVE-2013-6483)。

- 修正收到包含極端值的假延遲時間戳記時某些系統的當機情形 (CVE-2013-6477)。

- 修正針對自己的好友圖示選取非常小的檔案時可能的當機情形或其他錯誤的行為。

- 修正使用者嘗試起始包含無資源 JID 之語音/視訊工作階段時的當機情形。

- 修正在使用 Cyrus SASL 時，前兩個可用的驗證機制失敗、但後續機制則可正常運作的情況下，所發生的登入錯誤 (pidgin.im#15524)。

- 修正收到多個 HTTP 回應時，立即中斷 BOSH 連線之傳入 stanza 的問題 (pidgin.im#15684)。

+ Yahoo!：

- 修正處理非 UTF-8 的傳入字串時可能發生的損毀情形 (CVE-2012-6152)。

- 修正讀取遠端使用者可能觸發損毀之對等式訊息時出現的錯誤 (CVE-2013-6481)。

+ 外掛程式：

- 修正連絡人可用性外掛程式中的損毀情形。

- 修正 perl 函式 Purple::Network::ip_atoi。

- 新增 Unity 整合外掛程式。

+ Windows 專屬修正：(CVE-2013-6486、pidgin.im#15520、pidgin.im#15521、bgo#668154)。

- 放置 pidgin-irc-sasl.patch，已修正上游。

- 淘汰 pidgin-facebookchat：此套件不再進行維護，而且 pidgin 成為 Facebook Chat 的內建支援。

- 使用 with_mono 巨集保護 mono-devel 的 buildrequires。

- 新增 pidgin-gstreamer1.patch：GStreamer 1.0 的連接埠。只在 openSUSE 13.1 和更新版本上啟用。

- 在 openSUSE 13.1 和更新版本上，使用 gstreamer-devel 和 gstreamer-plugins-base-devel BuildRequires。

ID	名稱	產品	系列	已發布	已更新	嚴重性
80740	Oracle Solaris 第三方修補程式更新：pidgin (multiple_vulnerabilities_in_pidgin2)	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	critical
72282	Pidgin < 2.10.8 多個弱點	Nessus	Windows	2014/2/4	2019/11/26	critical
74173	SuSE 11.3 安全性更新：finch (SAT 修補程式編號 9213)	Nessus	SuSE Local Security Checks	2014/5/24	2021/1/19	critical
72386	Ubuntu 12.04 LTS / 12.10 / 13.10 : pidgin 弱點 (USN-2100-1)	Nessus	Ubuntu Local Security Checks	2014/2/7	2021/1/19	critical
72265	Slackware 13.0 / 13.1 / 13.37 / 14.0 / 14.1 / 最新版本：pidgin (SSA：2014-034-01)	Nessus	Slackware Local Security Checks	2014/2/4	2021/1/14	critical
72359	Fedora 20 : pidgin-2.10.9-1.fc20 (2014-2013)	Nessus	Fedora Local Security Checks	2014/2/6	2021/1/11	critical
72362	Oracle Linux 6 : pidgin (ELSA-2014-0139)	Nessus	Oracle Linux Local Security Checks	2014/2/6	2021/1/14	critical
72352	CentOS 5 / 6 : pidgin (CESA-2014:0139)	Nessus	CentOS Local Security Checks	2014/2/6	2021/1/4	critical
72364	RHEL 5 / 6 : pidgin (RHSA-2014:0139)	Nessus	Red Hat Local Security Checks	2014/2/6	2021/1/14	critical
72365	Scientific Linux 安全性更新：SL5.x、SL6.x i386/x86_64 上的 pidgin	Nessus	Scientific Linux Local Security Checks	2014/2/6	2021/1/14	critical
72439	Debian DSA-2859-1 : pidgin - 數個弱點	Nessus	Debian Local Security Checks	2014/2/12	2021/1/11	critical
72519	Fedora 19 : pidgin-2.10.9-1.fc19 (2014-1999)	Nessus	Fedora Local Security Checks	2014/2/17	2021/1/11	critical
74064	GLSA-201405-22 : Pidgin：多個弱點	Nessus	Gentoo Local Security Checks	2014/5/19	2021/1/6	critical
75256	openSUSE 安全性更新：pidgin / pidgin-branding-openSUSE (openSUSE-SU-2014:0239-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high

偵測

搜尋 Plugin

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

high