openSUSE セキュリティ更新:pidgin(openSUSE-SU-2013:0511-1)
medium Nessus プラグイン ID 74934
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
Pidgin は 2.10.7 に更新され、IRC が 12.3 でまったく動作しなかったさまざまなセキュリティ問題やバグが修正されました。変更:
- pidgin-irc-sasl.patch を追加します:irc モジュールを SASL にリンクします。
IRC モジュールをロードできるようにします(bnc#806975)。
- バージョン 2.10.7 に更新してください(bnc#804742):
+ Alien hatchery:
- 変更なし
+ 一般:
- --with-static-prpls および --with-dynamic-prpls の引数を使用して無効なプロトコルプラグインを指定している場合、
構成スクリプトはステータス 1 で終了するようになっています。
(pidgin.im#15316)
+ libpurple:
- 過度に長い値で UPnP 応答を受け取った場合のクラッシュを修正してください。(CVE-2013-0274)
- GnuTLS サポート付きで構築している場合、libgcrypt に直接リンクしません。(pidgin.im#15329)
- 応答で空の <URLBase/> 要素を返すルーターで、UPnP マッピングを修正します。(pidgin.im#15373)
- Tcl プラグインでは、競合のないプラグインローディングである saner を使用します。
- savedstatus-changed 向けの Tcl シグナルテストプラグインを修正します。
(pidgin.im#15443)
+ Pidgin:
- MacPorts の +no_x11 バリアントなどの X11 以外の GTK+ に対して、Pidgin を利用しやすいものにします。
+ Gadu-Gadu:
- 大規模な連絡先リストで起動したときのクラッシュを修正します。友人向けの Avatar のサポートは、3.0.0 までに無効になります。
(pidgin.im#15226、pidgin.im#14305)
+ IRC:
- SASL 認証に対するサポート。(pidgin.im#13270)
- チャネルの参加時にトピックセッター情報を出力します。
(pidgin.im#13317)
+ MSN:
- 一部のユーザー用の MSN に署名する場合の SSL 証明書の問題を修正します。
- そのアイコンがロードされる前にユーザーを削除する場合のクラッシュを修正します。(pidgin.im#15217)
+ MXit:
- リモートの MXit ユーザーが書き込み先のローカルファイルのパスを指定できる可能性があるバグを修正します。
(CVE-2013-0271)
- MXit サーバーまたは中間者が、特別に細工されたデータを送信することで、バッファをオーバーフローさせたり、クラッシュまたはリモートコードの実行を引き起こしたりする可能性のあるバグを修正します。(CVE-2013-0272)
- 通常のメッセージと見分けるために、送別のメッセージを別の色で表示します。
- 記入通知のためのサポートを追加します。
- Relationship Status プロファイル属性に対するサポートを追加します。
- 非表示番号への参照をすべて削除します。
- GroupChat に参加するための新しい招待状を、すでに参加している場合、または招待状を保留している場合は無視します。
- その友人の名前は、ステータスメッセージがないか、mood が設定されていない場合、友人リストの縦方向の中央にありませんでした。
- 受信したメッセージのマークアップにおける、フォントサイズ変更のデコーディングを修正します。
- 転送可能な最大のファイルサイズを 1 MB に増やします。
- avatar 画像を設定する場合、今後 96x96 に縮小しません。
+ Sametime:
- 悪意のあるサーバーが異常に長いユーザー ID を送信した場合の、Sametime におけるクラッシュを修正します。(CVE-2013-0273)
+ Yahoo!:
- プロファイル/画像をロードするコードで二重解放を修正します。
(pidgin.im#15053)
- サーバー側での友人エイリアスの取得を修正します。
(pidgin.im#15381)
+ プラグイン:
- 音声/動画設定のプラグインは、sndio GStreamer バックエンドの使用をサポートします。(pidgin.im#14414)
- Contact Availability Detection プラグインでのクラッシュを修正します。(pidgin.im#15327)
- MacPorts の +no_x11 バリアントなどの X11 以外の GTK+ に対して、Message Notification プラグインを利用しやすいものにします。
+ Windows 固有の変更:
- 安全なフラグでコンパイルします(pidgin.im#15290)
- インストーラーは、GTK+ Runtime および Debug Symbols をより安全にダウンロードします。(pidgin.im#15277)
- 一部はセキュリティに関連する修正がある、多数の依存関係に更新します。(pidgin.im#14571、pidgin.im#15285、pidgin.im#15286)。ATK 1.32.0-2。Cyrus SASL 2.1.25。expat 2.1.0-1。freetype 2.4.10-1。
gettext 0.18.1.1-2。Glib 2.28.8-1。libpng 1.4.12-1。
libxml2 2.9.0-1。NSS 3.13.6 および NSPR 4.9.2。Pango 1.29.4-1。SILC 1.1.10。zlib 1.2.5-2
- libmeanwhile(sametime ライブラリ)にパッチを適用し、クラッシュを修正します。
(pidgin.im#12637)
ソリューション
影響を受けた pidgin パッケージを更新してください。参考資料
https://bugzilla.novell.com/show_bug.cgi?id=804742
https://bugzilla.novell.com/show_bug.cgi?id=806975
https://lists.opensuse.org/opensuse-updates/2013-03/msg00080.html
プラグインの詳細
深刻度: Medium
ID: 74934
ファイル名: openSUSE-2013-231.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/6/13
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:finch, p-cpe:/a:novell:opensuse:finch-debuginfo, p-cpe:/a:novell:opensuse:finch-devel, p-cpe:/a:novell:opensuse:libpurple, p-cpe:/a:novell:opensuse:libpurple-branding-upstream, p-cpe:/a:novell:opensuse:libpurple-debuginfo, p-cpe:/a:novell:opensuse:libpurple-devel, p-cpe:/a:novell:opensuse:libpurple-lang, p-cpe:/a:novell:opensuse:libpurple-meanwhile, p-cpe:/a:novell:opensuse:libpurple-meanwhile-debuginfo, p-cpe:/a:novell:opensuse:libpurple-tcl, p-cpe:/a:novell:opensuse:libpurple-tcl-debuginfo, p-cpe:/a:novell:opensuse:pidgin, p-cpe:/a:novell:opensuse:pidgin-debuginfo, p-cpe:/a:novell:opensuse:pidgin-debugsource, p-cpe:/a:novell:opensuse:pidgin-devel, cpe:/o:novell:opensuse:12.3
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/3/11
参照情報
CVE: CVE-2013-0271, CVE-2013-0272, CVE-2013-0273, CVE-2013-0274