openSUSE セキュリティ更新:pidgin(openSUSE-SU-2014:1376-1)
medium Nessus プラグイン ID 79101
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
この更新により、以下の問題が修正されました:+ 一般:
- SSL/TLS 証明書を検証する際に、基本制約拡張をチェックします。これは、悪意のある中間者が IM サーバーまたは他の https エンドポイントになりすますことを可能にするセキュリティホールを修正します。これは、 NSS および GnuTLS プラグインの両方に影響を与えます(CVE-2014-3694、boo#902495)。
- SSL に対して NSS プラグインを使用する際に、TLS 1.2 および 1.1 の許可および設定を行います(im#15909)。
+ libpurple3 の互換性:
-暗号化されたアカウントパスワードは、新しいパスワードが設定されるまで保存されます。
- Google Talk および Facebook XMPP アカウントのロードを修正します。
+ Groupwise:大量のメモリを割り当てるべきと示すサーバーメッセージを解析するリモートクラッシュの可能性を修正します(CVE-2014-3696、boo#902410)。
+ IRC:/me コマンドを OTR で使用する場合にまだ暗号化されていないデータの漏洩の可能性を修正します(im#15750)。
+ MXit:形式が間違っているスマイリ応答を解析するリモートクラッシュの可能性を修正します(CVE-2014-3695、boo#902409)。
+ XMPP:
-悪意のある XMPP サーバーとリモートユーザーが巧妙に細工された XMPP メッセージを作成し、 libpurple に任意のメモリを含む XMPP メッセージを送信させる可能性がある、潜在的な情報漏洩を修正します(CVE-2014-3698、boo#902408)。
+ Yahoo:TLS 接続に GnuTLS ライブラリを使用する場合のログインを修正します(im#16172、boo#874606)。
ソリューション
影響を受けた pidgin パッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=853038
https://bugzilla.opensuse.org/show_bug.cgi?id=874606
https://bugzilla.opensuse.org/show_bug.cgi?id=902408
https://bugzilla.opensuse.org/show_bug.cgi?id=902409
https://bugzilla.opensuse.org/show_bug.cgi?id=902410
https://bugzilla.opensuse.org/show_bug.cgi?id=902495
https://lists.opensuse.org/opensuse-updates/2014-11/msg00023.html
プラグインの詳細
深刻度: Medium
ID: 79101
ファイル名: openSUSE-2014-635.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/11/11
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.0
CVSS v2
リスクファクター: Medium
基本値: 6.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
脆弱性情報
CPE: cpe:/o:novell:opensuse:13.1, p-cpe:/a:novell:opensuse:finch, p-cpe:/a:novell:opensuse:finch-debuginfo, p-cpe:/a:novell:opensuse:finch-devel, p-cpe:/a:novell:opensuse:libpurple, p-cpe:/a:novell:opensuse:libpurple-branding-opensuse, p-cpe:/a:novell:opensuse:libpurple-branding-upstream, p-cpe:/a:novell:opensuse:libpurple-debuginfo, p-cpe:/a:novell:opensuse:libpurple-devel, p-cpe:/a:novell:opensuse:libpurple-lang, p-cpe:/a:novell:opensuse:libpurple-meanwhile, p-cpe:/a:novell:opensuse:libpurple-meanwhile-debuginfo, p-cpe:/a:novell:opensuse:libpurple-tcl, p-cpe:/a:novell:opensuse:libpurple-tcl-debuginfo, p-cpe:/a:novell:opensuse:pidgin, p-cpe:/a:novell:opensuse:pidgin-debuginfo, p-cpe:/a:novell:opensuse:pidgin-debugsource, p-cpe:/a:novell:opensuse:pidgin-devel, p-cpe:/a:novell:opensuse:pidgin-otr, p-cpe:/a:novell:opensuse:pidgin-otr-debuginfo, p-cpe:/a:novell:opensuse:pidgin-otr-debugsource, cpe:/o:novell:opensuse:12.3
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2014/10/31
参照情報
CVE: CVE-2014-3694, CVE-2014-3695, CVE-2014-3696, CVE-2014-3697, CVE-2014-3698