Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (07.02.2014):
Ubuntu hat Fehlerkorrekturen bereitgestellt.
Version 3 (06.02.2014):
Redhat hat durch Backports mit Version 2.6.6-32 Fehlerkorrekturen
bereitgestellt.
Version 2 (05.02.2014):
Der Hersteller veröffentlicht Sicherheitspatches für Fedora 19 und 20, die
bis auf CVE-2013-6486 die Schwachstellen in Pidgin beheben.
Version 1 (30.01.2014):
Neues Advisory
Betroffene Software:
Pidgin <= 2.10.7 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 GNU/Linux GNU/Linux Microsoft Windows Red Hat Enterprise Linux 6 Server Red Hat Enterprise Linux 6 Workstation Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 5 Workstation/Client Red Hat Enterprise Linux Desktop 6.0 Red Hat Fedora 19 Red Hat Fedora 20 Mehrere Schwachstellen in unterschiedlichen Komponenten von Pidgin ermöglichen es einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durch- oder beliebige Befehle auszuführen. Patch: Fedora 20 Update FEDORA-2014-2013 https://admin.fedoraproject.org/updates/FEDORA-2014-2013/pidgin-2.10.9-1.fc20
Patch:
Fedora 19 Update FEDORA-2014-1999
https://admin.fedoraproject.org/updates/FEDORA-2014-1999/pidgin-2.10.9-1.fc19
Patch:
Redhat Security Advisory RHSA-2014:0139-1
http://rhn.redhat.com/errata/RHSA-2014-0139.html
Patch:
Ubuntu Security Notice USN-2100-1
http://www.ubuntu.com/usn/usn-2100-1
CVE-2014-0020: Schwachstelle in Pidgin
Eine Schwachstelle in Pidgin bei der Behandlung von IRC Nachrichten führt zu
einem Anwendungsabsturz, wenn nicht genug Parameter zu einer Nachricht
gesendet werden.
CVE-2013-6490: Pufferüberlauf Schwachstelle in Pidgin
In der Funktion sipmsg_parse_header() kommt es zu einem Pufferüberlauf, wenn
die Länge einer SIP/SIMPLE Nachricht als -1 im Header angegeben ist. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebige Befehle auszuführen.
CVE-2013-6489: Pufferüberlauf in Pidgin
Eine Schwachstelle in Pidgin in der Implementierung des MXit Protokoll führt
dazu, dass beim Parsen von emoticons ein Pufferüberlauf auftritt.
CVE-2013-6487: Schwachstelle in Pidgin Gadu Gadu
Eine Schwachstelle in der Implementierung des Gadu Gadu Protokolls führt
dazu, dass die Längenangabe einer HTTP Anfrage nicht korrekt geprüft wird,
wodurch es zu einem Heap-Überlauf und in der Folge zu einem
Denial-of-Service-Zustand kommen kann.
CVE-2013-6486: Schwachstelle in Pidgin
Eine Schwachstelle in der Behandlung von file:// URLs in Pidgin führt dazu,
dass Pfade zu ausführbaren Dateien in der URL angegeben werden können und
die Dateien dann ausgeführt werden.
CVE-2013-6485: Schwachstelle in Pidgin ermöglicht Befehlsausführung
Eine Schwachstelle in Pidgin führt dazu, das HTTP Antworten, die stückweise
(chunked) empfangen werden, nicht korrekt geparst werden und es zu einem
Pufferüberlauf kommt.
CVE-2013-6484: DoS-Schwachstelle in Pidgin
Eine Schwachstelle in Pidgin führt dazu, dass es im Fehlerfall beim Lesen
einer Antwort eines STUN Servers zu einem Anwendungsabsturz kommt.
CVE-2013-6483: Schwachstelle in Pidgin XMPP
Eine Schwachstelle in der Behandlung von XMPP führt dazu, dass die Identität
des Absenders (IQ ID) einer Nachricht nicht immer korrekt geprüft wird.
CVE-2013-6482: DoS-Schwachstellen in Pidgin MSN
Mehrere Schwachstellen in der Behandlung von MSN Nachrichten-Headern, SOAP
Antworten und OIM Daten führen zu NULL Pointer Verweisen.
CVE-2013-6481: Schwachstelle in Pidgin
Eine Schwachstelle in der Behandlung von Yahoo Peer-to-Peer Nachrichten
führt dazu, dass es durch das Lesen einer Nachricht zu einem
Anwendungsabsturz kommen kann.
CVE-2013-6479: Schwachstelle in Pidgin
Eine nicht näher beschrieben Schwachstelle in Pidgin führt dazu, dass es bei
der Verarbeitung von HTTP Headern zu einem Anwendungsabsturz kommt.
CVE-2013-6478: Schwachstelle in Pidgin libX11
Eine Schwachstelle in Pidgin bei der Anzeige von URLs im Tooltip führt dazu,
dass URLs mit mehr als 200 Zeichen zu einem Anwendungsabsturz führen.
CVE-2013-6477: Schwachstelle in Pidgin XMPP
Eine Schwachstelle in der XMPP Implementierung führt dazu, dass gefälschte
Zeitstempel mit extremen Werten zu einem Absturz der Anwendung führen.
CVE-2012-6152: Schwachstelle in Pidgin Yahoo
Die Implementierung des Yahoo!-Protokolls in libpurple in Pidgin vor Version
2.10.8 validiert UTF-8 Daten nicht fehlerfrei. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer durch das Senden von
präparierten nicht UTF-8-Zeichenketten die Anwendung zum Absturz zu bringen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0123/
Schwachstelle CVE-2013-6490 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6490
Schwachstelle CVE-2012-6152 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6152
Schwachstelle CVE-2013-6481 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6481
Schwachstelle CVE-2014-0020 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0020
Schwachstelle CVE-2013-6478 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6478
Schwachstelle CVE-2013-6482 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6482
Schwachstelle CVE-2013-6489 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6489
Schwachstelle CVE-2013-6479 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6479
Schwachstelle CVE-2013-6487 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6487
Schwachstelle CVE-2013-6483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6483
Schwachstelle CVE-2013-6477 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6477
Schwachstelle CVE-2013-6484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6484
Schwachstelle CVE-2013-6485 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6485
Schwachstelle CVE-2013-6486 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6486
Fedora 20 Update FEDORA-2014-2013:
https://admin.fedoraproject.org/updates/FEDORA-2014-2013/pidgin-2.10.9-1.fc20
Fedora 19 Update FEDORA-2014-1999:
https://admin.fedoraproject.org/updates/FEDORA-2014-1999/pidgin-2.10.9-1.fc19
Redhat Security Advisory RHSA-2014:0139-1:
http://rhn.redhat.com/errata/RHSA-2014-0139.html
Ubuntu Security Notice USN-2100-1:
http://www.ubuntu.com/usn/usn-2100-1
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=81
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=83
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=82
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=70
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=71
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=72
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=73
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=74
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=76
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=77
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=75
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=78
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=79
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=80
pidgin Hersteller-Advisory:
https://www.pidgin.im/news/security/?id=85
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
