検出

openSUSEセキュリティ更新プログラム:pidgin(openSUSE-2017-457)

critical Nessus プラグイン ID 99295

Language:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このpidginのバージョン2.12.0への更新では、次の問題が修正されます:

以下のセキュリティの問題が修正されました。

 - CVE-2017-2640:purple_markup_unescape_entityの領域外メモリ読み取り(boo#1028835)。

以下のセキュリティ以外の問題が、修正されました。

 + libpurple:

 - glibのnon-debug-enabledバージョンを実行中の初期化されていないメモリの使用を修正します。

 - AIM devおよびdist IDを、AOLにより割り当てられた新しいものに更新します。

 - TLS証明書検証で、SHA-256チェックサムが使用されるようになりました。

 - FreenodeのSASL外部認証を修正します(boo#1009974)。

 - MSNプロトコルプラグインを削除します。これは、しばらくの間使用できず、休止状態です。

 - Mxitプロトコルプラグインを削除します。このサービスは2016年9月に終了しています。

 - MySpaceIMプロトコルプラグインを削除します。このサービスは長期間機能していません(pidgin.im#15356)。

 - Yahoo!プロトコルプラグインを削除します。Yahooはプロトコルを完全に再実装したため、このバージョンは2016年8月5日以降稼働していません。

 - Facebook(XMPP)アカウントオプションを削除します。https://developers.facebook.com/docs/chatによると、XMPP Chat APIサービスは2015年4月30日に終了しました。

 - 主にGoogleに影響を与えていたgnutls証明書検証エラーを修正します。

 + 一般:

 - d.pidgin.imのインスタンスをdeveloper.pidgin.imに置き換え、httpsを使用するようにURLを更新します(pidgin.im#17036)。

 + IRC:

 - メッセージが警告なしに500文字で切り捨てられる問題を修正します。大きなメッセージは部分に分割され、1つずつ送信されるようになりました(pidgin.im#4753)。

ソリューション

影響を受けた pidgin パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=1009974

https://bugzilla.opensuse.org/show_bug.cgi?id=1028835

https://developers.facebook.com/docs/chat

プラグインの詳細

深刻度: Critical

ID: 99295

ファイル名: openSUSE-2017-457.nasl

バージョン: 3.5

タイプ: local

エージェント: unix

公開日: 2017/4/12

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libpurple-devel, p-cpe:/a:novell:opensuse:libpurple-lang, p-cpe:/a:novell:opensuse:libpurple-plugin-sametime, p-cpe:/a:novell:opensuse:libpurple-plugin-sametime-debuginfo, p-cpe:/a:novell:opensuse:libpurple-tcl, p-cpe:/a:novell:opensuse:libpurple-tcl-debuginfo, p-cpe:/a:novell:opensuse:pidgin, p-cpe:/a:novell:opensuse:pidgin-debuginfo, p-cpe:/a:novell:opensuse:pidgin-debugsource, p-cpe:/a:novell:opensuse:pidgin-devel, cpe:/o:novell:opensuse:42.2, p-cpe:/a:novell:opensuse:finch, p-cpe:/a:novell:opensuse:finch-debuginfo, p-cpe:/a:novell:opensuse:finch-devel, p-cpe:/a:novell:opensuse:libpurple, p-cpe:/a:novell:opensuse:libpurple-branding-opensuse, p-cpe:/a:novell:opensuse:libpurple-branding-upstream, p-cpe:/a:novell:opensuse:libpurple-debuginfo

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

パッチ公開日: 2017/4/11

参照情報

CVE: CVE-2017-2640

IAVB: 2017-B-0029