検出

Debian DSA-2859-1:pidgin - いくつかの脆弱性

critical Nessus プラグイン ID 72439

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

マルチプロトコルのインスタントメッセージングクライアントである Pidgin で、次のような複数の脆弱性が発見されています:

- CVE-2013-6477 Jaime Breva Ribes 氏は、遠い未来のタイムスタンプ付きメッセージを送信することで、リモートの XMPP ユーザーがクラッシュを誘発できることを発見しました。

- CVE-2013-6478 過度に広いツールチップウィンドウにより、Pidgin がクラッシュする可能性があります。

- CVE-2013-6479 Jacob Appelbaum 氏は、悪意のあるサーバーまたは「中間者」が、無効な形式の HTTP ヘッダーを送信することで、サービス拒否を引き起こす可能性があることを発見しました。

- CVE-2013-6481 Daniel Atallah 氏は、無効な形式の Yahoo! P2P メッセージにより、Pidgin がクラッシュする可能性があることを発見しました。

- CVE-2013-6482 Fabian Yamaguchi 氏と Christian Wressnegger 氏は、無効な形式の MSN メッセージにより Pidgin がクラッシュする可能性があることを発見しました。

- CVE-2013-6483 Fabian Yamaguchi 氏と Christian Wressnegger 氏は、無効な形式の XMPP メッセージにより、Pidgin がクラッシュする可能性があることを発見しました。

- CVE-2013-6484 STUN サーバーからの応答を読み取る際に、エラーを間違って処理しているため、クラッシュを引き起こす可能性があることが判明しました。

- CVE-2013-6485 Matt Jones 氏は、無効な形式の HTTP 応答を解析する際に、バッファオーバーフローがあることを発見しました。

- CVE-2013-6487 Yves Younan 氏と Ryan Pentney 氏は、Gadu-Gadu メッセージを解析する際に、バッファオーバーフローがあることを発見しました。

- CVE-2013-6489 Yves Younan 氏と Pawel Janic 氏は、MXit 絵文字を解析する際に、整数オーバーフローがあることを発見しました。

- CVE-2013-6490 Yves Younan 氏は、SIMPLE ヘッダーを解析する際に、バッファオーバーフローがあることを発見しました。

- CVE-2014-0020 Daniel Atallah 氏は、無効な形式の IRC 引数を通じて、Pidgin がクラッシュする可能性があることを発見しました。

ソリューション

pidgin パッケージをアップグレードしてください。

旧安定版(oldstable)ディストリビューション(squeeze)の場合、直接バックポートは提供されません。修正済みパッケージが、backports.debian.org から間もなく提供されることになっています。

安定版(stable)ディストリビューション(wheezy)では、これらの問題はバージョン 2.10.9-1+deb7u1 で修正されています。

参考資料

https://security-tracker.debian.org/tracker/CVE-2013-6477

https://security-tracker.debian.org/tracker/CVE-2013-6478

https://security-tracker.debian.org/tracker/CVE-2013-6479

https://security-tracker.debian.org/tracker/CVE-2013-6481

https://security-tracker.debian.org/tracker/CVE-2013-6482

https://security-tracker.debian.org/tracker/CVE-2013-6483

https://security-tracker.debian.org/tracker/CVE-2013-6484

https://security-tracker.debian.org/tracker/CVE-2013-6485

https://security-tracker.debian.org/tracker/CVE-2013-6487

https://security-tracker.debian.org/tracker/CVE-2013-6489

https://security-tracker.debian.org/tracker/CVE-2013-6490

https://security-tracker.debian.org/tracker/CVE-2014-0020

https://packages.debian.org/source/wheezy/pidgin

https://www.debian.org/security/2014/dsa-2859

プラグインの詳細

深刻度: Critical

ID: 72439

ファイル名: debian_DSA-2859.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2014/2/12

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:pidgin, cpe:/o:debian:debian_linux:7.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/2/10

参照情報

CVE: CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020

BID: 65188, 65192, 65195, 65243

DSA: 2859