Scientific Linux セキュリティ更新：SL3.x、SL4.x、SL5.x i386/x86_64 の pidgin

high Nessus プラグイン ID 60589

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

Extensible Messaging and Presence Protocol （XMPP）使用時に Pidgin でファイル転送を開始する方法にバッファオーバーフローの欠陥が見つかりました。Pidgin クライアントがファイル転送を開始し、リモートターゲットが無効な形式の応答を送信した場合、Pidgin がクラッシュしたり、 Pidgin の実行ユーザーの権限で任意のコードを実行してしまう可能性があります。この欠陥は、Jabber や Google トークなど、XMPP を使用するアカウントにしか影響しません。（CVE-2009-1373）

Pidgin の QQ プロトコル復号化ハンドラーにサービス拒否の欠陥が見つかりました。QQ プロトコルでパケット情報を復号化したとき、ヒープデータが上書きされ、Pidgin がクラッシュしてしまう原因になる可能性があります。（CVE-2009-1374）

Pidgin の PurpleCircBuffer オブジェクトを展開する方法に欠陥が見つかりました。バッファが満杯のときにさらにデータが到着した場合、このバッファに保存されているデータは破損します。この破損データが原因で、混乱を招くデータがユーザーに提示されたり、Pidgin がクラッシュする場合があります。（CVE-2009-1375）

Pidgin クライアントが特別に細工された MSN メッセージを受信した場合、 Pidgin の実行ユーザーの権限で任意のコードを実行してしまう可能性があります。（CVE-2009-1376）

注：デフォルトでは、MSN アカウントを使用するとき、ある人のバディーリスト上のユーザーだけが、その人にメッセージを送信することができます。これにより、不特定多数の MSN ユーザーがこの欠陥を悪用することが防がれます。

この更新を有効にするためには、Pidgin を再起動する必要があります。