—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Sun Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-2528 – Schwachstelle in pidgin/libpurple

Die Bibliothek libpurple, welche von pidgin fuer die Kommunikation ueber
verschiedene Instant-Messenger Protokolle dient weist einen
Schwachstelle auf, die zu einem Absturz des Programms fuehren kann.
Grund hierfuer ist ein Fehler bei der Verarbeitung fehlerhafter X-Status
Nachrichten im ICQ-Protokoll. Ein entfernter Angreifer kann diese
Schwachstelle fuer entfernte Denial of Service Angriffe auf betroffene
Programmversionen ausnutzen.

CVE-2010-1624 – Denial of Service Schwachstelle in Pidgin

Aufgrund eines Fehlers bei der Verarbeitung von benutzerdefierten
Emoticons in SLP-Paketen kann ein Absturz von Pidgin ausgeloest werden.
Grund hierfuer ist ein Fehler in der Funktion ‘msn_emoticon_msg()’ in
der Datei slp.c. Ein Angreifer kann diese Schwachstelle ausnutzen um mit
speziell praeparierten SLP-Paketen einen Denial of Service Angriff gegen
ein betroffenes Programm durchzufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

GNOME desktop

Oracle Solaris 11 Express
Solaris 10

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Tilmann Haak

– —
Dipl.-Inform. Tilmann Haak (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

http://blogs.sun.com/security/entry/cve_2010_2528_cve_2010

CVE-2010-2528 CVE-2010-1624 Denial of Service Vulnerabilities in Pidgin
posted by chandan in Alerts
CVE Description CVSSv2 Base Score Component Product and Resolution
CVE-2010-1624 A security vulnerability in the MSN protocol plugin in libpurple in Pidgin before 2.7.0 may allow remote authenticated users to cause a Denial of Service (DoS – NULL pointer dereference and application crash). 5.0 GNOME desktop
Oracle Solaris 11 Express snv_151a
Solaris 10 SPARC: 143317-03 X86: 143318-03
CVE-2010-2528 A security vulnerability in the oscar protocol plugin in libpurple in Pidgin before 2.7.2 may allow remote authenticated users to cause a Denial of Service (DoS – NULL pointer dereference and application crash).

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAk0QuNoACgkQWmhIvjFb90VdiACeN3R4pgy9NA0+M37kvIIRB6vw
rQwAoJYwpmdr6mWHQ26u4KKtkS5bvGXI
=I5QM
—–END PGP SIGNATURE—–