[Fedora] Schwachstelle in pidgin – FEDORA-2011-3113

[Fedora] Schwachstelle in pidgin - FEDORA-2011-3113

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Pidgin verwendet die Bibliothek libpurple.

CVE-2011-1091 – Schwachstellen in der Bibliothek libpurple

Das Yahoo Protokoll Plugin der Bibliothek libpurple in den Versionen
2.6.0 bis 2.7.10 behandelt YMSG Pakete (sowohl SMS Meldungen als auch
‘notification packets’) in unsicherer Weise. Durch entsprechend
aufgebaute Pakete koennen verschiedene NULL-Pointer Dereferenzierungen
ausgeloest und die Anwendung, welche die Bibliothek verwendet, zum
Absturz gebracht werden. Ein entfernter, authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um einen Denial of Service
auszuloesen. Fuer den Versand einer entsprechend manipulierten SMS
Meldung benoetigt der Angreifer einen Yahoo Server unter seiner
Kontrolle.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket pidgin

Fedora 14

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-3113
2011-03-11 20:24:20
– ——————————————————————————–

Name : pidgin
Product : Fedora 14
Version : 2.7.11
Release : 1.fc14
URL : http://pidgin.im/
Summary : A Gtk+ based multiprotocol instant messaging client
Description :
Pidgin allows you to talk to anyone using a variety of messaging
protocols including AIM, MSN, Yahoo!, Jabber, Bonjour, Gadu-Gadu,
ICQ, IRC, Novell Groupwise, QQ, Lotus Sametime, SILC, Simple and
Zephyr. These protocols are implemented using a modular, easy to
use design. To use a protocol, just add an account using the
account editor.

Pidgin supports many common features of other clients, as well as many
unique features, such as perl scripting, TCL scripting and C plugins.

Pidgin is not affiliated with or endorsed by America Online, Inc.,
Microsoft Corporation, Yahoo! Inc., or ICQ Inc.

– ——————————————————————————–
Update Information:

New release 2.7.11

Full Upstream ChangeLog:

http://developer.pidgin.im/wiki/ChangeLog
– ——————————————————————————–
ChangeLog:

* Fri Mar 11 2011 Stu Tomlinson 2.7.11-1
– – 2.7.11, includes security/DoS fixes in Yahoo protocol
CVE-2011-1091 (#683031)
* Thu Mar 10 2011 Dan Williams 2.7.10-2
– – Update for NetworkManager 0.9
* Tue Feb 22 2011 Stu Tomlinson 2.7.10-1
– – 2.7.10
* Wed Feb 9 2011 Fedora Release Engineering – 2.7.9-4
– – Rebuilt for https://fedoraproject.org/wiki/Fedora_15_Mass_Rebuild
* Tue Feb 1 2011 Milan Crha 2.7.9-3
– – Rebuild against newer evolution-data-server
* Wed Jan 12 2011 Milan Crha 2.7.9-2
– – Rebuild against newer evolution-data-server
* Mon Dec 27 2010 Stu Tomlinson 2.7.9-1
– – 2.7.9, includes security/DoS fix in the MSN protocol (#665856)
* Mon Nov 29 2010 Stu Tomlinson 2.7.7-1
– – 2.7.7
– – Disable MSNP16 due to regressions interacting with official client
* Fri Nov 19 2010 Stu Tomlinson 2.7.5-2
– – Add additional intermediate CA certificates to fix MSN
* Mon Nov 1 2010 Stu Tomlinson 2.7.5-1
– – 2.7.5
* Fri Oct 22 2010 Stu Tomlinson 2.7.4-1
– – 2.7.4, includes security fix for CVE-2010-3711
* Tue Oct 12 2010 Milan Crha – 2.7.3-6
– – Rebuild against newer evolution-data-server
* Wed Sep 29 2010 jkeating – 2.7.3-5
– – Rebuilt for gcc bug 634757
– ——————————————————————————–
References:

[ 1 ] Bug #683031 – CVE-2011-1091 Pidgin: Multiple NULL pointer dereference flaws in Yahoo protocol plug-in
https://bugzilla.redhat.com/show_bug.cgi?id=683031
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update pidgin’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNfi1SAAoJEJtyb8U7iGZBCy0H/jDsxKzsvGvranpNaq2uTMAL
WDBpJTbvPn9tqC3DF1ohJmxxtyPyKchRhZAq9hw3meZ5y6mj/n2T6hHD7faek48G
Abzz3HIK18ZiZ5ym9f8bNN4KFOhSAO2+8XcgthXBYo0fHMIFeWQIdL2wt0MEYlao
PWvQbZxrpDpXDOQjOvkQ6D/GtNZxHsZ6KWdUw6zzZxc2UOOwJlmZMz46iaQx9mDS
x7TR3QB/kvgUHF9lKnv8Y4mH3aUfF6JlkfdPl9QrZ4EifB02HMLNRsuVAR883XAl
61x8yZFShCQ9XoPuffK46PW9M5k5w3/wPT3SmN287f8n5kzzhZloFArDOAKPx8Q=
=de3j
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben