DFN-CERT-2012-1408 Mehrere Schwachstellen in Pidgin [Linux][RedHat]

DFN-CERT-2012-1408 Mehrere Schwachstellen in Pidgin [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket pidgin

Betroffene Plattformen:

RHEL Desktop Workstation (v. 5 client) – i386, x86_64
RHEL Optional Productivity Applications (v. 5 server) – i386, x86_64
Red Hat Enterprise Linux Desktop (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux Desktop (v. 6) – i386, x86_64
Red Hat Enterprise Linux Desktop Optional (v. 6) – i386, x86_64
Red Hat Enterprise Linux Server Optional (v. 6) – i386, ppc64, x86_64
Red Hat Enterprise Linux Workstation (v. 6) – i386, x86_64
Red Hat Enterprise Linux Workstation Optional (v. 6) – i386, x86_64

Mehrere Schwachstellen in Pidgin erlauben es einem entfernten Angreifer
schlimmstenfalls, beliebige Befehle mit den Rechten der Anwendung
auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2012-3374: Buffer Overflow Schwachstelle in der MXit-Unterstützung im
Pidgin Instant Messenger

Der Instant-Messenger Pidgin enthält eine Schwachstelle im Plugin, welches
das Protokoll MXit unterstützt. Grund hierfür ist ein Fehler bei der
Verarbeitung von MXit-Nachrichten durch die Bibliothek libpurple, welche
bestimme Emoticon-Tags fehlerhaft verarbeitet. Ein Angreifer kann diese
Schwachstelle durch speziell präparierte Nachrichten ausnutzen, und so
schlimmstenfalls beliebige Befehle mit den Rechten der betroffenen Anwendung
ausführen.

CVE-2012-2318: Schwachstelle im MSN-Plugin von Pidgin

Das MSN-Protokoll Plugin in Pidgin enthält einen Fehler bei der Überprüfung
des MSN-Nachrichteninhalts, falls dieser bestimmte Zeichen enthält. Dies
ermöglicht einem entfernten Angreifer mit Kontrolle über einen Server durch
das Senden von präparierten ‘MSN Notification’-Nachrichten, sowie einem
entfernten Angreifer, welcher in der Buddy-Liste des Benutzers geführt ist,
durch das Senden von präparierten ‘MSN Offline Instant’-Nachrichten die
Anwendung zum Absturz zu bringen.

CVE-2012-1178: Schwachstelle in Pidgin

In Pidgin vor Version 2.10.2 in der Funktion msn_oim_report_to_user() (in:
oim.c) im MSN-Protokoll-Plugin ist es einem entfernten Server möglich, die
Anwendung zum Absturz zu bringen. Ein entfernter Angreifer mit Kontrolle
über einen Server kann dies ausnutzen, indem er eine OIM-Nachricht schickt,
die nicht UTF-8 codiert wurde.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1408/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2012-1102.html

Schwachstelle CVE-2012-1178:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1178

Schwachstelle CVE-2012-2318:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2318

Schwachstelle CVE-2012-3374:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3374

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben