Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 9 (16.12.2014):
Für SUSE Linux Enterprise 11 SP3 stehen für Desktop und Software
Development Kit sowie für SUSE Linux Enterprise 12 für Workstation
Extension, Desktop und Software Development Kit Sicherheitsupdates
bereitgestellt, die allerdings die Schwachstellen CVE-2014-3697 (nur
Windows) und CVE-2014-3694 nicht benennen.
Version 8 (12.11.2014):
Für openSUSE 13.2 wurde ein Sicherheitsupdate bereitgestellt.
Version 7 (10.11.2014):
Für openSUSE 12.3 und 13.1 stehen Sicherheitsupdates zur Verfügung.
Version 6 (03.11.2014):
Für Fedora 20 wurde ein aktualisiertes Paket pidgin-2.10.10-1.fc20
bereitgestellt.
Version 5 (03.11.2014):
Das Sicherheitsupdate FEDORA-2014-13969 für Fedora 21 wurde in den Status
‘obsolet’ gesetzt und durch ein neues Sicherheitsupdate FEDORA-2014-14112,
welches sich im Status ‘testing’ befindet, abgelöst.
Version 4 (31.10.2014):
Die für Linux-Systeme relevanten Schwachstellen werden mit einem
Sicherheitsupdate für die Distribution Fedora 21 adressiert.
Version 3 (28.10.2014):
Für Ubuntu 14.10, 14.04 LTS und 12.04 LTS werden aktualisierte Pakete von
pidgin und libpurple zur Verfügung gestellt, welche die angegebenen
Schwachstellen, mit Ausnahme der CVE-2014-3697, die nur auf
Windows-Systemen existiert, beheben.
Version 2 (24.10.2014):
Debian stellt für die Distribution Wheezy ein Sicherheitsupdate zur
Verfügung, welches die angegebenen Schwachstellen, mit Ausnahme der
CVE-2014-3697, die nur auf Windows-Systemen existiert, behebt.
Version 1 (23.10.2014):
Neues Advisory
Betroffene Software:
Pidgin <= 2.10.9 Betroffene Plattformen: SUSE Linux Enterprise Workstation Extension 12 SUSE Software Development Kit 11 SP3 Enterprise SUSE Software Development Kit 12 Enterprise Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 Wheezy GNU/Linux Microsoft Windows openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 12 Red Hat Fedora 20 Red Hat Fedora 21 Mehrere Schwachstellen in Pidgin ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Manipulieren von Daten und die Durchführung von Denial-of-Service-Angriffen. Patch: Pidgin Security Advisory Pidgin-ADV-2014-3694 https://www.pidgin.im/news/security/?id=86
Patch:
Pidgin Security Advisory Pidgin-ADV-2014-3695
https://www.pidgin.im/news/security/?id=87
Patch:
Pidgin Security Advisory Pidgin-ADV-2014-3696
https://www.pidgin.im/news/security/?id=88
Patch:
Pidgin Security Advisory Pidgin-ADV-2014-3697
https://www.pidgin.im/news/security/?id=89
Patch:
Pidgin Security Advisory Pidgin-ADV-2014-3698
https://www.pidgin.im/news/security/?id=90
Patch:
Debian Security Advisory DSA-3055-1
https://www.debian.org/security/2014/dsa-3055
Patch:
Ubuntu Security Advisory USN-2390-1
http://www.ubuntu.com/usn/usn-2390-1/
Patch:
Fedora Security Update FEDORA-2014-14069
https://admin.fedoraproject.org/updates/FEDORA-2014-14069/pidgin-2.10.10-1.fc20
Patch:
Fedora Security Update FEDORA-2014-14112
https://admin.fedoraproject.org/updates/FEDORA-2014-14112/pidgin-2.10.10-2.fc21
Patch:
openSUSE Security Update openSUSE-SU-2014:1376-1
http://lists.opensuse.org/opensuse-updates/2014-11/msg00023.html
Patch:
openSUSE Security Update: openSUSE-SU-2014:1397-1
http://lists.opensuse.org/opensuse-updates/2014-11/msg00037.html
Patch:
SUSE Security Update SUSE-SU-2014:1615-1
https://www.suse.com/support/update/announcement/2014/suse-su-20141615-1.html
Patch:
SUSE Security Update SUSE-SU-2014:1623-1
https://www.suse.com/support/update/announcement/2014/suse-su-20141623-1.html
CVE-2014-3698: Schwachstelle in Pidgin libpurple ermöglicht das Ausspähen
von Informationen
Eine Schwachstelle in Pidgin libpurple führt dazu, dass Pidgin auf den
Empfang einer präparierten XMPP-Nachricht mit dem Versenden einer
XMPP-Nachricht antwortet, die beliebigen Speicherinhalt enthält. Ein
entfernter, nicht authentifizierter Angreifer kann unter Ausnutzung der
Schwachstelle sensible Informationen erlangen.
CVE-2014-3697: Schwachstelle in Pidgin erlaubt Manipulation von Dateien
Eine Schwachstelle im Pidgin Utar-Code unter Microsoft Windows besteht in
der Behandlung von Smileys. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
bringt, ein schädliches Smiley-Thema mittels Drag-and-Drop unter Windows zu
installieren, um beliebige Dateien zu verändern oder neue Dateien an
beliebiger Stelle im Dateisystem zu plazieren.
CVE-2014-3696: Schwachstelle in Pidgin erlaubt Denial-of-Service
Eine Schwachstelle in Pidgin Libpurple besteht in der Behandlung von
Groupwise-Nachrichten. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, wenn er einen Server kontrolliert oder
als Man-in-the-Middle, indem er schädlich geformte Groupwise-Nachrichten
sendet, worin er spezifiziert, dass eine große Menge Speicher an vielen
Stellen in der UI zugewiesen wird, um einen Absturz von Pidgin zu
verursachen (Denial-of-Service).
CVE-2014-3695: Schwachstelle in Pidgin erlaubt Denial-of-Service
Eine Schwachstelle in Pidgin Libpurple besteht für das Parsen von
MXit-Emoticons. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, wenn er einen Server kontrolliert oder als
Man-in-the-Middle, indem er ein Emoticon mit einem übergroßen Längenwert
sendet, um einen Absturz von Pidgin zu verursachen (Denial-of-Service).
CVE-2014-3694: Unzureichende Validierung von SSL-Zertifikaten
Eine Schwachstelle in den beiden paketierten Pidgin Libpurple
SSL/TLS-Plugins (eines für GnuTLS, eines für NSS) besteht in einer fehlenden
Prüfung der Basic Constraints-Erweiterung in Zwischenzertifikaten
(“intermediate certificates”) als CA zu fungieren. Ein beliebiger
entfernter, nicht authentifizierter Angreifer, der irgendein gültiges
(“End-Entitiy”-)Zertifikat besitzt, kann diese Schwachstelle ausnutzen,
indem er ein Zertifikat für eine beliebige Domain ausstellt, dem Pidgin
somit vertraut, um eine vertrauenswürdige Webseite, d.h. eine entsprechend
den Sicherheitsrichtlinien einer vertrauenswürdigen Root-CA geprüfte Domain,
vorzutäuschen. Hierdurch kann er Benutzer täuschen und weitere Angriffe
durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1392/
Pidgin Security Advisory Pidgin-ADV-2014-3694:
https://www.pidgin.im/news/security/?id=86
Pidgin Security Advisory Pidgin-ADV-2014-3695:
https://www.pidgin.im/news/security/?id=87
Pidgin Security Advisory Pidgin-ADV-2014-3696:
https://www.pidgin.im/news/security/?id=88
Pidgin Security Advisory Pidgin-ADV-2014-3697:
https://www.pidgin.im/news/security/?id=89
Pidgin Security Advisory Pidgin-ADV-2014-3698:
https://www.pidgin.im/news/security/?id=90
Schwachstelle CVE-2014-3694 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3694
Schwachstelle CVE-2014-3695 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3695
Schwachstelle CVE-2014-3696 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3696
Schwachstelle CVE-2014-3697 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3697
Schwachstelle CVE-2014-3698 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3698
Debian Security Advisory DSA-3055-1:
https://www.debian.org/security/2014/dsa-3055
Ubuntu Security Advisory USN-2390-1:
http://www.ubuntu.com/usn/usn-2390-1/
Fedora Security Update FEDORA-2014-14069:
https://admin.fedoraproject.org/updates/FEDORA-2014-14069/pidgin-2.10.10-1.fc20
Fedora Security Update FEDORA-2014-14112:
https://admin.fedoraproject.org/updates/FEDORA-2014-14112/pidgin-2.10.10-2.fc21
openSUSE Security Update openSUSE-SU-2014:1376-1:
http://lists.opensuse.org/opensuse-updates/2014-11/msg00023.html
openSUSE Security Update: openSUSE-SU-2014:1397-1:
http://lists.opensuse.org/opensuse-updates/2014-11/msg00037.html
SUSE Security Update SUSE-SU-2014:1615-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141615-1.html
SUSE Security Update SUSE-SU-2014:1623-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141623-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
