openSUSE セキュリティ更新:pidgin(openSUSE-SU-2014:1397-1)
medium Nessus プラグイン ID 79223
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
- バージョン 2.10.10 に更新してください:+ 一般:
- SSL/TLS 証明書を検証する際に、基本制約拡張をチェックします。これは、悪意のある中間者が IM サーバーまたは他の https エンドポイントになりすますことを可能にするセキュリティホールを修正します。これは、 NSS および GnuTLS プラグインの両方に影響を与えます(CVE-2014-3694、boo#902495)。
- SSL に対して NSS プラグインを使用する際に、TLS 1.2 および 1.1 の許可および設定を行います(im#15909)。
+ libpurple3 の互換性:
-暗号化されたアカウントパスワードは、新しいパスワードが設定されるまで保存されます。
- Google Talk および Facebook XMPP アカウントのロードを修正します。
+ Windows 特有の変更:ユーザーがドラッグアンドドロップでスマイリーのテーマをインストールする際に、ファイルシステムの任意のファイルを上書きできません(CVE-2014-3697)。
+ Finch:Python 3 に対するビルドを修正します(im#15969)。
+ Gadu-Gadu:内部 libgadu をバージョン 1.12.0 に更新します。
+ Groupwise:大量のメモリを割り当てるべきと示すサーバーメッセージを解析するリモートクラッシュの可能性を修正します(CVE-2014-3696、boo#902410)。
+ IRC:/me コマンドを OTR で使用する場合にまだ暗号化されていないデータの漏洩の可能性を修正します(im#15750)。
+ MXit:形式が間違っているスマイリ応答を解析するリモートクラッシュの可能性を修正します(CVE-2014-3695、boo#902409)。
+ XMPP:
-悪意のある XMPP サーバーとリモートユーザーが巧妙に細工された XMPP メッセージを作成し、 libpurple に任意のメモリを含む XMPP メッセージを送信させる可能性がある、潜在的な情報漏洩を修正します(CVE-2014-3698、boo#902408)。
- Facebook XMPP ロースターの quirk を修正します(im#15041、im#15957)。
+ Yahoo:TLS 接続に GnuTLS ライブラリを使用する場合のログインを修正します(im#16172、boo#874606)。
- pidgin-gstreamer1.patch のドロップ:クラッシュを引き起こし、依然として Video は動作しません(boo#853038)。BuildRequires 条件をドロップし、GStreamer 1.0 に切り替えます。
- pidgin-crash-missing-gst-registry.patch をリベースします。
+ pidgin-crash-missing-gst-registry.patch を GST doc にしたがって追加します、「gst_init」は他の呼び出しの前に呼び出す必要があります。
ソリューション
影響を受けた pidgin パッケージを更新してください。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=853038
https://bugzilla.opensuse.org/show_bug.cgi?id=874606
https://bugzilla.opensuse.org/show_bug.cgi?id=902408
https://bugzilla.opensuse.org/show_bug.cgi?id=902409
https://bugzilla.opensuse.org/show_bug.cgi?id=902410
https://bugzilla.opensuse.org/show_bug.cgi?id=902495
https://lists.opensuse.org/opensuse-updates/2014-11/msg00037.html
プラグインの詳細
深刻度: Medium
ID: 79223
ファイル名: openSUSE-2014-648.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/11/13
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.0
CVSS v2
リスクファクター: Medium
基本値: 6.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:finch, p-cpe:/a:novell:opensuse:finch-debuginfo, p-cpe:/a:novell:opensuse:finch-devel, p-cpe:/a:novell:opensuse:libpurple, p-cpe:/a:novell:opensuse:libpurple-branding-opensuse, p-cpe:/a:novell:opensuse:libpurple-branding-upstream, p-cpe:/a:novell:opensuse:libpurple-debuginfo, p-cpe:/a:novell:opensuse:libpurple-devel, p-cpe:/a:novell:opensuse:libpurple-lang, p-cpe:/a:novell:opensuse:libpurple-meanwhile, p-cpe:/a:novell:opensuse:libpurple-meanwhile-debuginfo, p-cpe:/a:novell:opensuse:libpurple-tcl, p-cpe:/a:novell:opensuse:libpurple-tcl-debuginfo, p-cpe:/a:novell:opensuse:pidgin, p-cpe:/a:novell:opensuse:pidgin-debuginfo, p-cpe:/a:novell:opensuse:pidgin-debugsource, p-cpe:/a:novell:opensuse:pidgin-devel, cpe:/o:novell:opensuse:13.2
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2014/11/4
参照情報
CVE: CVE-2014-3694, CVE-2014-3695, CVE-2014-3696, CVE-2014-3697, CVE-2014-3698