Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket pidgin

Betroffene Plattformen:

Mandriva Linux 2010.1
Mandriva Linux 2010.1/X86_64
Mandriva Linux 2011
Mandriva Linux 2011/X86_64
Mandriva Enterprise Server 5
Mandriva Enterprise Server 5/X86_64

Zwei Schwachstellen ermöglichen entfernten Angreifern durch prÀparierte
Nachrichten die Anwendung zum Absturz zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://www.mandriva.com/security

CVE-2011-4601: Schwachstelle im Pidgin OSCAR Protokoll Plug-in

Im OSCAR Protokoll (ICQ) Plug-in fÃŒr Pidgin vor Version 2.10.1 werden
Meldungen ÃŒber abgelehnte Autorisierunganfragen, welche Zeichen enthalten,
die nicht in UTF-8 enthalten sind, auf unsichere Weise behandelt. Ein
Angreifer kann dies ausnutzen, um mithilfe eines prÀparierten Servers
entsprechende Nachrichten zu versenden, welche zu einem Absturz der
Anwendung fÌhren können (Denial of Service).

CVE-2011-3594: Schwachstelle im Pidgin SILC Protokoll Plug-in

Im Pidgin SILC (Secure Internet Live Conferencing) Protokoll Plug-in werden
bestimmte maskierte UTF-8 Zeichen nicht hinreichend gefiltert. Ein
entfernter Angreifer kann diese Schwachstelle mit einer manipulierten SILC
Nachricht ausnutzen, um die Anwendung zum Absturz zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2011-1883/

Das Hersteller Advisory:
http://www.mandriva.com/security/advisories?name=MDVSA-2011:183

Schwachstelle CVE-2011-4601:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4601

Schwachstelle CVE-2011-3594:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3594

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.