Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Pidgin <= 2.10.7 Betroffene Plattformen: GNU/Linux GNU/Linux Microsoft Windows Mehrere Schwachstellen in unterschiedlichen Komponenten von Pidgin ermöglichen es einem entfernten, nicht authentfizierten Angreifer einen Denial-of-Service-Angriff durch- oder beliebige Befehle auszuführen. CVE-2014-0020: Schwachstelle in Pidgin Eine Schwachstelle in Pidgin bei der Behandlung von IRC Nachrichten führt zu einem Anwendungsabsturz, wenn nicht genug Parameter zu einer Nachricht gesendet werden. CVE-2013-6490: Pufferüberlauf Schwachstelle in Pidgin In der Funktion sipmsg_parse_header() kommt es zu einem Pufferüberlauf, wenn die Länge einer SIP/SIMPLE Nachricht als -1 im Header angegeben ist. Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige Befehle auszuführen. CVE-2013-6489: Pufferüberlauf in Pidgin Eine Schwachstelle in Pidgin in der Implementierung des MXit Protokoll führt dazu, dass beim Parsen von emoticons ein Pufferüberlauf auftritt. CVE-2013-6487: Schwachstelle in Pidgin Gadu Gadu Eine Schwachstelle in der Implementierung des Gadu Gadu Protokolls führt dazu, dass die Längenangabe einer HTTP Anfrage nicht korrekt geprüft wird, wodurch es zu einem Heap-Überlauf und in der Folge zu einem Denial-of-Service-Zustand kommen kann. CVE-2013-6486: Schwachstelle in Pidgin Eine Schwachstelle in der Behandlung von file:// URLs in Pidgin führt dazu, dass Pfade zu ausführbaren Dateien in der URL angegeben werden können und die Dateien dann ausgeführt werden. CVE-2013-6485: Schwachstelle in Pidgin ermöglicht Befehlsausführung Eine Schwachstelle in Pidgin führt dazu, das HTTP Antworten, die stückweise (chunked) empfangen werden, nicht korrekt geparst werden und es zu einem Pufferüberlauf kommt. CVE-2013-6484: DoS-Schwachstelle in Pidgin Eine Schwachstelle in Pidgin führt dazu, dass es im Fehlerfall beim Lesen einer Antwort eines STUN Servers zu einem Anwendungsabsturz kommt. CVE-2013-6483: Schwachstelle in Pidgin XMPP Eine Schwachstelle in der Behandlung von XMPP führt dazu, dass die Identität des Absenders (IQ ID) einer Nachricht nicht immer korrekt geprüft wird. CVE-2013-6482: DoS-Schwachstellen in Pidgin MSN Mehrere Schwachstellen in der Behandlung von MSN Nachrichten-Headern, SOAP Antworten und OIM Daten führen zu NULL Pointer Verweisen. CVE-2013-6481: Schwachstelle in Pidgin Eine Schwachstelle in der Behandlung von Yahoo Peer-to-Peer Nachrichten führt dazu, dass es durch das Lesen einer Nachricht zu einem Anwendungsabsturz kommen kann. CVE-2013-6479: Schwachstelle in Pidgin Eine nicht näher beschrieben Schwachstelle in Pidgin führt dazu, dass es bei der Verarbeitung von HTTP Headern zu einem Anwendungsabsturz kommt. CVE-2013-6478: Schwachstelle in Pidgin libX11 Eine Schwachstelle in Pidgin bei der Anzeige von URLs im Tooltip führt dazu, dass URLs mit mehr als 200 Zeichen zu einem Anwendungsabsturz führen. CVE-2013-6477: Schwachstelle in Pidgin XMPP Eine Schwachstelle in der XMPP Implementierung führt dazu, dass gefälschte Zeitstempel mit extremen Werten zu einem Absturz der Anwendung führen. CVE-2012-6152: Schwachstelle in Pidgin Yahoo Eine Schwachstelle in der Implementierung des Yahoo Protokolls führt beim Dekodieren von nicht UTF-8 Zeichenketten zu einem Absturz der Anwendung. Referenzen: Dieses Advisory finden Sie auch im DFN-CERT Portal unter: https://portal.cert.dfn.de/adv/DFN-CERT-2014-0123/
Schwachstelle CVE-2013-6490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6490
Schwachstelle CVE-2012-6152 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6152
Schwachstelle CVE-2013-6481 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6481
Schwachstelle CVE-2014-0020 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0020
Schwachstelle CVE-2013-6478 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6478
Schwachstelle CVE-2013-6482 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6482
Schwachstelle CVE-2013-6489 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6489
Schwachstelle CVE-2013-6479 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6479
Schwachstelle CVE-2013-6487 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6487
Schwachstelle CVE-2013-6483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6483
Schwachstelle CVE-2013-6477 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6477
Schwachstelle CVE-2013-6484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6484
Schwachstelle CVE-2013-6485 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6485
Schwachstelle CVE-2013-6486 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6486
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=81
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=83
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=82
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=70
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=71
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=72
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=73
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=74
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=76
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=77
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=75
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=78
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=79
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=80
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=85
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
