[Fedora] Schwachstelle in Pidgin vor Version 2.9.0 – FEDORA-2011-8966

[Fedora] Schwachstelle in Pidgin vor Version 2.9.0 - FEDORA-2011-8966

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-2485 – Schwachstelle in GDK Pixbuf

In der Funktion gdk_pixbuf__gif_image_load() der GIF-Image-Laderoutine
werden nicht alle Rueckgabewerte von Unterroutinen korrekt gehandhabt.
Dadurch ist es moeglich, dass zurueckgegebene Strukturen nur teilweise
initialisiert wurden und somit sehr grosse Werte in einigen Variablen
enthalten sein koennen. Einem entfernten Angreifer ist es damit
moeglich, falls er einen Nutzer dazu bringt eine praeparierte GIF-Datei
zu oeffnen, die verwendete Anwendung zum Abbruch zu zwingen, da durch
die Variablen in der Struktur zu viel Speicher angefordert wird.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket pidgin

Fedora 15

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-8966
2011-07-01 18:26:49
– ——————————————————————————–

Name : pidgin
Product : Fedora 15
Version : 2.9.0
Release : 1.fc15
URL : http://pidgin.im/
Summary : A Gtk+ based multiprotocol instant messaging client
Description :
Pidgin allows you to talk to anyone using a variety of messaging
protocols including AIM, MSN, Yahoo!, Jabber, Bonjour, Gadu-Gadu,
ICQ, IRC, Novell Groupwise, QQ, Lotus Sametime, SILC, Simple and
Zephyr. These protocols are implemented using a modular, easy to
use design. To use a protocol, just add an account using the
account editor.

Pidgin supports many common features of other clients, as well as many
unique features, such as perl scripting, TCL scripting and C plugins.

Pidgin is not affiliated with or endorsed by America Online, Inc.,
Microsoft Corporation, Yahoo! Inc., or ICQ Inc.

– ——————————————————————————–
Update Information:

New release 2.9.0

Full Upstream ChangeLog:

http://developer.pidgin.im/wiki/ChangeLog
New release 2.8.0

Full Upstream ChangeLog:

http://developer.pidgin.im/wiki/ChangeLog
– ——————————————————————————–
ChangeLog:

* Thu Jun 30 2011 Stu Tomlinson 2.8.0-3
– – 2.9.0, includes security/DoS fix to work around gdk-pixbuf issue
CVE-2011-2485
* Mon Jun 20 2011 Milan Crha 2.8.0-3
– – Rebuild against new evolution-data-server
* Fri Jun 17 2011 Marcela MaÅ¡láÅ?ová – 2.8.0-2
– – Perl mass rebuild
* Mon Jun 13 2011 Stu Tomlinson 2.8.0-1
– – 2.8.0
* Fri May 20 2011 Kalev Lember 2.7.11-4
– – Rebuilt for libcamel soname bump
* Tue Apr 26 2011 Dan Williams 2.7.11-3
– – A few more NetworkManager 0.9 fixes
– ——————————————————————————–
References:

[ 1 ] Bug #714754 – pidgin: DoS (excessive memory consumption) by processing certain GIF images used as buddy icon
https://bugzilla.redhat.com/show_bug.cgi?id=714754
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update pidgin’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOEw/CAAoJEJtyb8U7iGZBnGQH/jyQY9GgpGT7rWLaobisUhB8
rQS1MNQhb5CfVYdMMLrULhCkIIlhced65jTnChRAgNK7q0FYI+r/AoXfybecdFbi
yBjwkEDitncpRlWauj3unVDAEScBakytgNbRMvR9WUzzDkwCQN0jvZlXjzjrcRAf
vYdcEq90I9aYHrfuL5gk5+sdVInUIRBtLcYreuqN4xOLKmjyz8IKm98gkY/9/Qbx
j98Hmv7GEKcX3b5V52o02dgZmSlYG1gmdD/V2AOeQXyWLYAHZI+lzZ97T01FsqsY
q9nO6G0nIcsiS6mLho2yRynLKRQL81bAwlkb4sNmqkO0ee5XcfR7BSZPzYNnCKU=
=aqYh
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben