[Fedora] Schwachstelle in Pidgin – FEDORA-2011-3150

[Fedora] Schwachstelle in Pidgin - FEDORA-2011-3150

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-1091 – Schwachstellen in der Bibliothek libpurple

Das Yahoo Protokoll Plugin der Bibliothek libpurple in den Versionen
2.6.0 bis 2.7.10 behandelt YMSG Pakete (sowohl SMS Meldungen als auch
‘notification packets’) in unsicherer Weise. Durch entsprechend
aufgebaute Pakete koennen verschiedene NULL-Pointer Dereferenzierungen
ausgeloest und die Anwendung, welche die Bibliothek verwendet, zum
Absturz gebracht werden. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um einen Denial of Service
auszuloesen. Fuer den Versand einer entsprechend manipulierten SMS
Meldung benoetigt der Angreifer einen Yahoo Server unter seiner
Kontrolle.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket pidgin

Fedora 15

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-3150
2011-03-12 04:22:21
– ——————————————————————————–

Name : pidgin
Product : Fedora 15
Version : 2.7.11
Release : 1.fc15
URL : http://pidgin.im/
Summary : A Gtk+ based multiprotocol instant messaging client
Description :
Pidgin allows you to talk to anyone using a variety of messaging
protocols including AIM, MSN, Yahoo!, Jabber, Bonjour, Gadu-Gadu,
ICQ, IRC, Novell Groupwise, QQ, Lotus Sametime, SILC, Simple and
Zephyr. These protocols are implemented using a modular, easy to
use design. To use a protocol, just add an account using the
account editor.

Pidgin supports many common features of other clients, as well as many
unique features, such as perl scripting, TCL scripting and C plugins.

Pidgin is not affiliated with or endorsed by America Online, Inc.,
Microsoft Corporation, Yahoo! Inc., or ICQ Inc.

– ——————————————————————————–
Update Information:

New release 2.7.11

Full Upstream ChangeLog:

http://developer.pidgin.im/wiki/ChangeLog
– ——————————————————————————–
References:

[ 1 ] Bug #683031 – CVE-2011-1091 Pidgin: Multiple NULL pointer dereference flaws in Yahoo protocol plug-in
https://bugzilla.redhat.com/show_bug.cgi?id=683031
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update pidgin’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNhz5JAAoJEJtyb8U7iGZBAQ8H/Awg38zAh1yHwRhzG0T+Ki1R
rqygXoAuyGlhQc6LgSJmKiUHVH8renYdv0Z3hpiJDZnt4DSJkEBRQM2ev0amC8OU
2WkMv2ZXMTIDBaAuITxkxlRvvBo4XVJcdQoq8M3Pbi51ONU7DmmoXtfrTQShQVkk
/Fgn2nyAJ5izTV4VgwC6Dwou5w6sJLNhRCVGpj7K0itgdFxQEkTAhnYpNwMKrVoP
q2OPb+0xw8spUkECj54VwAWQM0hNz1ETRsf7FNZ2g2qm8qnY52Smcg96wtCJM5dv
ce4yWl840H7Qx/n0z1B93KvhY/ue1pV8wqFSzyMP3K/qt5UEnu2V99azHqVHDt0=
=N9gq
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben