Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Pidgin
Betroffene Plattformen:
Solaris 10
Solaris 11 ohne Patch 11/11 SRU 10.5
Aufgrund zweier Schwachstellen in Pidgin ist es einem entfernten Angreifer
möglich die Anwendung zum Absturz zu bringen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
CVE-2012-2318: Schwachstelle im MSN-Plugin von Pidgin
Das MSN-Protokoll Plugin in Pidgin enthält einen Fehler bei der Überprüfung
des MSN-Nachrichteninhalts, falls dieser bestimmte Zeichen enthält. Dies
ermöglicht einem entfernten Angreifer mit Kontrolle über einen Server durch
das Senden von präparierten ‘MSN Notification’-Nachrichten, sowie einem
entfernten Angreifer, welcher in der Buddy-Liste des Benutzers geführt ist,
durch das Senden von präparierten ‘MSN Offline Instant’-Nachrichten die
Anwendung zum Absturz zu bringen.
CVE-2012-2214: Schwachstelle im XMMP Plugin von Pidgin
Das XMMP-Protokoll Plugin in Pidgin enthält eine Schwachstelle beim Reinigen
bestimmter SOCKS5-Verbindungen. Dies ermöglicht einem entfernten Angreifer
durch das Senden einer Reihe von präparierten Dateiübertragungsanfragen im
XMPP-Protokoll den Pidgin-Client zum Absturz zu bringen. Voraussetzung dafür
ist, dass der Angreifer in der Buddy-Liste des Benutzers geführt wird und
das es dem Angreifer gelingt den Benutzer zum Akzeptieren der
Dateiübertragungsanfragen zu bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1636/
Das Hersteller Advisory:
https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_pidgin
Schwachstelle CVE-2012-2214:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2214
Schwachstelle CVE-2012-2318:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2318
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
