Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (03.11.2014):
Für Fedora 20 wurde ein aktualisiertes Paket pidgin-2.10.10-1.fc20
bereitgestellt.
Version 5 (03.11.2014):
Das Sicherheitsupdate FEDORA-2014-13969 für Fedora 21 wurde in den Status
‘obsolet’ gesetzt und durch ein neues Sicherheitsupdate FEDORA-2014-14112,
welches sich im Status ‘testing’ befindet, abgelöst.
Version 4 (31.10.2014):
Die für Linux-Systeme relevanten Schwachstellen werden mit einem
Sicherheitsupdate für die Distribution Fedora 21 adressiert.
Version 3 (28.10.2014):
Für Ubuntu 14.10, 14.04 LTS und 12.04 LTS werden aktualisierte Pakete von
pidgin und libpurple zur Verfügung gestellt, welche die angegebenen
Schwachstellen, mit Ausnahme der CVE-2014-3697, die nur auf
Windows-Systemen existiert, beheben.
Version 2 (24.10.2014):
Debian stellt für die Distribution Wheezy ein Sicherheitsupdate zur
Verfügung, welches die angegebenen Schwachstellen, mit Ausnahme der
CVE-2014-3697, die nur auf Windows-Systemen existiert, behebt.
Version 1 (23.10.2014):
Neues Advisory

Betroffene Software:

Pidgin <= 2.10.9 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 (Wheezy) GNU/Linux Microsoft Windows Red Hat Fedora 20 Red Hat Fedora 21 Mehrere Schwachstellen in Pidgin ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Manipulieren von Daten und die Durchführung von Denial-of-Service-Angriffen. Patch: Pidgin Security Advisory Pidgin-ADV-2014-3694 https://www.pidgin.im/news/security/?id=86

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3695

https://www.pidgin.im/news/security/?id=87

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3696

https://www.pidgin.im/news/security/?id=88

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3697

https://www.pidgin.im/news/security/?id=89

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3698

https://www.pidgin.im/news/security/?id=90

Patch:

Debian Security Advisory DSA-3055-1

https://www.debian.org/security/2014/dsa-3055

Patch:

Ubuntu Security Advisory USN-2390-1

http://www.ubuntu.com/usn/usn-2390-1/

Patch:

Fedora Security Update FEDORA-2014-14069

https://admin.fedoraproject.org/updates/FEDORA-2014-14069/pidgin-2.10.10-1.fc20

Patch:

Fedora Security Update FEDORA-2014-14112

https://admin.fedoraproject.org/updates/FEDORA-2014-14112/pidgin-2.10.10-2.fc21

CVE-2014-3698: Schwachstelle in Pidgin libpurple ermöglicht das Ausspähen
von Informationen

Eine Schwachstelle in Pidgin libpurple führt dazu, dass Pidgin auf den
Empfang einer präparierten XMPP-Nachricht mit dem Versenden einer
XMPP-Nachricht antwortet, die beliebigen Speicherinhalt enthält. Ein
entfernter, nicht authentifizierter Angreifer kann unter Ausnutzung der
Schwachstelle sensible Informationen erlangen.

CVE-2014-3697: Schwachstelle in Pidgin erlaubt Manipulation von Dateien

Eine Schwachstelle im Pidgin Utar-Code unter Microsoft Windows besteht in
der Behandlung von Smileys. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
bringt, ein schädliches Smiley-Thema mittels Drag-and-Drop unter Windows zu
installieren, um beliebige Dateien zu verändern oder neue Dateien an
beliebiger Stelle im Dateisystem zu plazieren.

CVE-2014-3696: Schwachstelle in Pidgin erlaubt Denial-of-Service

Eine Schwachstelle in Pidgin Libpurple besteht in der Behandlung von
Groupwise-Nachrichten. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, wenn er einen Server kontrolliert oder
als Man-in-the-Middle, indem er schädlich geformte Groupwise-Nachrichten
sendet, worin er spezifiziert, dass eine große Menge Speicher an vielen
Stellen in der UI zugewiesen wird, um einen Absturz von Pidgin zu
verursachen (Denial-of-Service).

CVE-2014-3695: Schwachstelle in Pidgin erlaubt Denial-of-Service

Eine Schwachstelle in Pidgin Libpurple besteht für das Parsen von
MXit-Emoticons. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, wenn er einen Server kontrolliert oder als
Man-in-the-Middle, indem er ein Emoticon mit einem übergroßen Längenwert
sendet, um einen Absturz von Pidgin zu verursachen (Denial-of-Service).

CVE-2014-3694: Unzureichende Validierung von SSL-Zertifikaten

Eine Schwachstelle in den beiden paketierten Pidgin Libpurple
SSL/TLS-Plugins (eines für GnuTLS, eines für NSS) besteht in einer fehlenden
Prüfung der Basic Constraints-Erweiterung in Zwischenzertifikaten
(“intermediate certificates”) als CA zu fungieren. Ein beliebiger
entfernter, nicht authentifizierter Angreifer, der irgendein gültiges
(“End-Entitiy”-)Zertifikat besitzt, kann diese Schwachstelle ausnutzen,
indem er ein Zertifikat für eine beliebige Domain ausstellt, dem Pidgin
somit vertraut, um eine vertrauenswürdige Webseite, d.h. eine entsprechend
den Sicherheitsrichtlinien einer vertrauenswürdigen Root-CA geprüfte Domain,
vorzutäuschen. Hierdurch kann er Benutzer täuschen und weitere Angriffe
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1392/

Pidgin Security Advisory Pidgin-ADV-2014-3694:
https://www.pidgin.im/news/security/?id=86

Pidgin Security Advisory Pidgin-ADV-2014-3695:
https://www.pidgin.im/news/security/?id=87

Pidgin Security Advisory Pidgin-ADV-2014-3696:
https://www.pidgin.im/news/security/?id=88

Pidgin Security Advisory Pidgin-ADV-2014-3697:
https://www.pidgin.im/news/security/?id=89

Pidgin Security Advisory Pidgin-ADV-2014-3698:
https://www.pidgin.im/news/security/?id=90

Schwachstelle CVE-2014-3694 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3694

Schwachstelle CVE-2014-3695 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3695

Schwachstelle CVE-2014-3696 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3696

Schwachstelle CVE-2014-3697 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3697

Schwachstelle CVE-2014-3698 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3698

Debian Security Advisory DSA-3055-1:
https://www.debian.org/security/2014/dsa-3055

Ubuntu Security Advisory USN-2390-1:
http://www.ubuntu.com/usn/usn-2390-1/

Fedora Security Update FEDORA-2014-14069:
https://admin.fedoraproject.org/updates/FEDORA-2014-14069/pidgin-2.10.10-1.fc20

Fedora Security Update FEDORA-2014-14112:
https://admin.fedoraproject.org/updates/FEDORA-2014-14112/pidgin-2.10.10-2.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (03.11.2014):
Das Sicherheitsupdate FEDORA-2014-13969 für Fedora 21 wurde in den Status
‘obsolet’ gesetzt und durch ein neues Sicherheitsupdate FEDORA-2014-14112,
welches sich im Status ‘testing’ befindet, abgelöst.
Version 4 (31.10.2014):
Die für Linux-Systeme relevanten Schwachstellen werden mit einem
Sicherheitsupdate für die Distribution Fedora 21 adressiert.
Version 3 (28.10.2014):
Für Ubuntu 14.10, 14.04 LTS und 12.04 LTS werden aktualisierte Pakete von
pidgin und libpurple zur Verfügung gestellt, welche die angegebenen
Schwachstellen, mit Ausnahme der CVE-2014-3697, die nur auf
Windows-Systemen existiert, beheben.
Version 2 (24.10.2014):
Debian stellt für die Distribution Wheezy ein Sicherheitsupdate zur
Verfügung, welches die angegebenen Schwachstellen, mit Ausnahme der
CVE-2014-3697, die nur auf Windows-Systemen existiert, behebt.
Version 1 (23.10.2014):
Neues Advisory

Betroffene Software:

Pidgin <= 2.10.9 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 (Wheezy) GNU/Linux Microsoft Windows Red Hat Fedora 21 Mehrere Schwachstellen in Pidgin ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Manipulieren von Daten und die Durchführung von Denial-of-Service-Angriffen. Patch: Pidgin Security Advisory Pidgin-ADV-2014-3694 https://www.pidgin.im/news/security/?id=86

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3695

https://www.pidgin.im/news/security/?id=87

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3696

https://www.pidgin.im/news/security/?id=88

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3697

https://www.pidgin.im/news/security/?id=89

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3698

https://www.pidgin.im/news/security/?id=90

Patch:

Debian Security Advisory DSA-3055-1

https://www.debian.org/security/2014/dsa-3055

Patch:

Ubuntu Security Advisory USN-2390-1

http://www.ubuntu.com/usn/usn-2390-1/

Patch:

Fedora Security Update FEDORA-2014-14112

https://admin.fedoraproject.org/updates/FEDORA-2014-14112/pidgin-2.10.10-2.fc21

CVE-2014-3698: Schwachstelle in Pidgin libpurple ermöglicht das Ausspähen
von Informationen

Eine Schwachstelle in Pidgin libpurple führt dazu, dass Pidgin auf den
Empfang einer präparierten XMPP-Nachricht mit dem Versenden einer
XMPP-Nachricht antwortet, die beliebigen Speicherinhalt enthält. Ein
entfernter, nicht authentifizierter Angreifer kann unter Ausnutzung der
Schwachstelle sensible Informationen erlangen.

CVE-2014-3697: Schwachstelle in Pidgin erlaubt Manipulation von Dateien

Eine Schwachstelle im Pidgin Utar-Code unter Microsoft Windows besteht in
der Behandlung von Smileys. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
bringt, ein schädliches Smiley-Thema mittels Drag-and-Drop unter Windows zu
installieren, um beliebige Dateien zu verändern oder neue Dateien an
beliebiger Stelle im Dateisystem zu plazieren.

CVE-2014-3696: Schwachstelle in Pidgin erlaubt Denial-of-Service

Eine Schwachstelle in Pidgin Libpurple besteht in der Behandlung von
Groupwise-Nachrichten. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, wenn er einen Server kontrolliert oder
als Man-in-the-Middle, indem er schädlich geformte Groupwise-Nachrichten
sendet, worin er spezifiziert, dass eine große Menge Speicher an vielen
Stellen in der UI zugewiesen wird, um einen Absturz von Pidgin zu
verursachen (Denial-of-Service).

CVE-2014-3695: Schwachstelle in Pidgin erlaubt Denial-of-Service

Eine Schwachstelle in Pidgin Libpurple besteht für das Parsen von
MXit-Emoticons. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, wenn er einen Server kontrolliert oder als
Man-in-the-Middle, indem er ein Emoticon mit einem übergroßen Längenwert
sendet, um einen Absturz von Pidgin zu verursachen (Denial-of-Service).

CVE-2014-3694: Unzureichende Validierung von SSL-Zertifikaten

Eine Schwachstelle in den beiden paketierten Pidgin Libpurple
SSL/TLS-Plugins (eines für GnuTLS, eines für NSS) besteht in einer fehlenden
Prüfung der Basic Constraints-Erweiterung in Zwischenzertifikaten
(“intermediate certificates”) als CA zu fungieren. Ein beliebiger
entfernter, nicht authentifizierter Angreifer, der irgendein gültiges
(“End-Entitiy”-)Zertifikat besitzt, kann diese Schwachstelle ausnutzen,
indem er ein Zertifikat für eine beliebige Domain ausstellt, dem Pidgin
somit vertraut, um eine vertrauenswürdige Webseite, d.h. eine entsprechend
den Sicherheitsrichtlinien einer vertrauenswürdigen Root-CA geprüfte Domain,
vorzutäuschen. Hierdurch kann er Benutzer täuschen und weitere Angriffe
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1392/

Pidgin Security Advisory Pidgin-ADV-2014-3694:
https://www.pidgin.im/news/security/?id=86

Pidgin Security Advisory Pidgin-ADV-2014-3695:
https://www.pidgin.im/news/security/?id=87

Pidgin Security Advisory Pidgin-ADV-2014-3696:
https://www.pidgin.im/news/security/?id=88

Pidgin Security Advisory Pidgin-ADV-2014-3697:
https://www.pidgin.im/news/security/?id=89

Pidgin Security Advisory Pidgin-ADV-2014-3698:
https://www.pidgin.im/news/security/?id=90

Schwachstelle CVE-2014-3694 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3694

Schwachstelle CVE-2014-3695 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3695

Schwachstelle CVE-2014-3696 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3696

Schwachstelle CVE-2014-3697 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3697

Schwachstelle CVE-2014-3698 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3698

Debian Security Advisory DSA-3055-1:
https://www.debian.org/security/2014/dsa-3055

Ubuntu Security Advisory USN-2390-1:
http://www.ubuntu.com/usn/usn-2390-1/

Fedora Security Update FEDORA-2014-14112:
https://admin.fedoraproject.org/updates/FEDORA-2014-14112/pidgin-2.10.10-2.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (31.10.2014):
Die für Linux-Systeme relevanten Schwachstellen werden mit einem
Sicherheitsupdate für die Distribution Fedora 21 adressiert.
Version 3 (28.10.2014):
Für Ubuntu 14.10, 14.04 LTS und 12.04 LTS werden aktualisierte Pakete von
pidgin und libpurple zur Verfügung gestellt, welche die angegebenen
Schwachstellen, mit Ausnahme der CVE-2014-3697, die nur auf
Windows-Systemen existiert, beheben.
Version 2 (24.10.2014):
Debian stellt für die Distribution Wheezy ein Sicherheitsupdate zur
Verfügung, welches die angegebenen Schwachstellen, mit Ausnahme der
CVE-2014-3697, die nur auf Windows-Systemen existiert, behebt.
Version 1 (23.10.2014):
Neues Advisory

Betroffene Software:

Pidgin <= 2.10.9 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Debian Linux 7.7 (Wheezy) GNU/Linux Microsoft Windows Red Hat Fedora 21 Mehrere Schwachstellen in Pidgin ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Manipulieren von Daten und die Durchführung von Denial-of-Service-Angriffen. Patch: Pidgin Security Advisory Pidgin-ADV-2014-3694 https://www.pidgin.im/news/security/?id=86

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3695

https://www.pidgin.im/news/security/?id=87

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3696

https://www.pidgin.im/news/security/?id=88

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3697

https://www.pidgin.im/news/security/?id=89

Patch:

Pidgin Security Advisory Pidgin-ADV-2014-3698

https://www.pidgin.im/news/security/?id=90

Patch:

Debian Security Advisory DSA-3055-1

https://www.debian.org/security/2014/dsa-3055

Patch:

Ubuntu Security Advisory USN-2390-1

http://www.ubuntu.com/usn/usn-2390-1/

Patch:

Fedora Security Update FEDORA-2014-13969

https://admin.fedoraproject.org/updates/FEDORA-2014-13969/pidgin-2.10.10-1.fc21

CVE-2014-3698: Schwachstelle in Pidgin libpurple ermöglicht das Ausspähen
von Informationen

Eine Schwachstelle in Pidgin libpurple führt dazu, dass Pidgin auf den
Empfang einer präparierten XMPP-Nachricht mit dem Versenden einer
XMPP-Nachricht antwortet, die beliebigen Speicherinhalt enthält. Ein
entfernter, nicht authentifizierter Angreifer kann unter Ausnutzung der
Schwachstelle sensible Informationen erlangen.

CVE-2014-3697: Schwachstelle in Pidgin erlaubt Manipulation von Dateien

Eine Schwachstelle im Pidgin Utar-Code unter Microsoft Windows besteht in
der Behandlung von Smileys. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
bringt, ein schädliches Smiley-Thema mittels Drag-and-Drop unter Windows zu
installieren, um beliebige Dateien zu verändern oder neue Dateien an
beliebiger Stelle im Dateisystem zu plazieren.

CVE-2014-3696: Schwachstelle in Pidgin erlaubt Denial-of-Service

Eine Schwachstelle in Pidgin Libpurple besteht in der Behandlung von
Groupwise-Nachrichten. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, wenn er einen Server kontrolliert oder
als Man-in-the-Middle, indem er schädlich geformte Groupwise-Nachrichten
sendet, worin er spezifiziert, dass eine große Menge Speicher an vielen
Stellen in der UI zugewiesen wird, um einen Absturz von Pidgin zu
verursachen (Denial-of-Service).

CVE-2014-3695: Schwachstelle in Pidgin erlaubt Denial-of-Service

Eine Schwachstelle in Pidgin Libpurple besteht für das Parsen von
MXit-Emoticons. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, wenn er einen Server kontrolliert oder als
Man-in-the-Middle, indem er ein Emoticon mit einem übergroßen Längenwert
sendet, um einen Absturz von Pidgin zu verursachen (Denial-of-Service).

CVE-2014-3694: Unzureichende Validierung von SSL-Zertifikaten

Eine Schwachstelle in den beiden paketierten Pidgin Libpurple
SSL/TLS-Plugins (eines für GnuTLS, eines für NSS) besteht in einer fehlenden
Prüfung der Basic Constraints-Erweiterung in Zwischenzertifikaten
(“intermediate certificates”) als CA zu fungieren. Ein beliebiger
entfernter, nicht authentifizierter Angreifer, der irgendein gültiges
(“End-Entitiy”-)Zertifikat besitzt, kann diese Schwachstelle ausnutzen,
indem er ein Zertifikat für eine beliebige Domain ausstellt, dem Pidgin
somit vertraut, um eine vertrauenswürdige Webseite, d.h. eine entsprechend
den Sicherheitsrichtlinien einer vertrauenswürdigen Root-CA geprüfte Domain,
vorzutäuschen. Hierdurch kann er Benutzer täuschen und weitere Angriffe
durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1392/

Pidgin Security Advisory Pidgin-ADV-2014-3694:
https://www.pidgin.im/news/security/?id=86

Pidgin Security Advisory Pidgin-ADV-2014-3695:
https://www.pidgin.im/news/security/?id=87

Pidgin Security Advisory Pidgin-ADV-2014-3696:
https://www.pidgin.im/news/security/?id=88

Pidgin Security Advisory Pidgin-ADV-2014-3697:
https://www.pidgin.im/news/security/?id=89

Pidgin Security Advisory Pidgin-ADV-2014-3698:
https://www.pidgin.im/news/security/?id=90

Schwachstelle CVE-2014-3694 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3694

Schwachstelle CVE-2014-3695 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3695

Schwachstelle CVE-2014-3696 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3696

Schwachstelle CVE-2014-3697 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3697

Schwachstelle CVE-2014-3698 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3698

Debian Security Advisory DSA-3055-1:
https://www.debian.org/security/2014/dsa-3055

Ubuntu Security Advisory USN-2390-1:
http://www.ubuntu.com/usn/usn-2390-1/

Fedora Security Update FEDORA-2014-13969:
https://admin.fedoraproject.org/updates/FEDORA-2014-13969/pidgin-2.10.10-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.