—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2010-3711 – Denial of Service Schwachstellen in der Bibliothek
libpurple
Die Bibliothek libpurple, die von Pidgin verwendet wird, ueberprueft den
Rueckgabewert der Funktion purple_base64_decode() nicht ausreichend,
wenn diese in den Protokoll-Plugins fuer das Yahoo!, MSN, MySpaceIM,
XMPP oder dem NTLM Authentifikationsprotokoll aufgerufen wird. Ein
entfernter Angreifer kann diese Schwachstelle dazu ausnutzen, Pidgin zum
Absturz zu bringen (Denial-of Service), indem er entsprechend aufgebaute
Pakete an das betroffene Programm schickt.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket pidgin
Fedora 14
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-19314
2010-12-30 19:54:18
– ——————————————————————————–
Name : pidgin
Product : Fedora 14
Version : 2.7.9
Release : 1.fc14
URL : http://pidgin.im/
Summary : A Gtk+ based multiprotocol instant messaging client
Description :
Pidgin allows you to talk to anyone using a variety of messaging
protocols including AIM, MSN, Yahoo!, Jabber, Bonjour, Gadu-Gadu,
ICQ, IRC, Novell Groupwise, QQ, Lotus Sametime, SILC, Simple and
Zephyr. These protocols are implemented using a modular, easy to
use design. To use a protocol, just add an account using the
account editor.
Pidgin supports many common features of other clients, as well as many
unique features, such as perl scripting, TCL scripting and C plugins.
Pidgin is not affiliated with or endorsed by America Online, Inc.,
Microsoft Corporation, Yahoo! Inc., or ICQ Inc.
– ——————————————————————————–
Update Information:
New release 2.7.9
Upstream ChangeLog:
http://developer.pidgin.im/wiki/ChangeLog
– ——————————————————————————–
ChangeLog:
* Mon Dec 27 2010 Stu Tomlinson
– – 2.7.9, includes security/DoS fix in the MSN protocol (#665856)
* Mon Nov 29 2010 Stu Tomlinson
– – 2.7.7
– – Disable MSNP16 due to regressions interacting with official client
* Fri Nov 19 2010 Stu Tomlinson
– – Add additional intermediate CA certificates to fix MSN
* Mon Nov 1 2010 Stu Tomlinson
– – 2.7.5
* Fri Oct 22 2010 Stu Tomlinson
– – 2.7.4, includes security fix for CVE-2010-3711
* Tue Oct 12 2010 Milan Crha
– – Rebuild against newer evolution-data-server
* Wed Sep 29 2010 jkeating – 2.7.3-5
– – Rebuilt for gcc bug 634757
– ——————————————————————————–
References:
[ 1 ] Bug #665421 – Pidgin: MSN DirectConnect DoS (crash) after receiving a short P2P message
https://bugzilla.redhat.com/show_bug.cgi?id=665421
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update pidgin’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNJanVAAoJEJtyb8U7iGZB9PUH/2TZsL2A/Rhm4hMRoASVQmJX
FPWn4HOZzBrfgWn0JiFGur8kz2AX3FjL/cZuEY3aNLHD+69LRdp4zWKlHFcBb6Qx
MaaxfjA0FYmruzMCNlGrTBg5vqqk36joYnI/SLPVVe35EpjQ9dx9X9Ho7PFc8rA4
G1b1reVWG2YB4fbsIGooXFSDX1WGS5xMYwhgi0zUqgq5QlmyomJ5QvI8sQ+8YWg/
asOz+U/VCrDYdh8BaIXMES8zzhophz1U0eswK7oy4N+nHMccleSRSksZ3K39wM/f
jQQax6UlWKEnQ2N5hOki8ed+5HUB29v9JWsW3YEgEiyUVa4c1ClQyj4YlbY8IJ4=
=5IFU
—–END PGP SIGNATURE—–
