Vulnerability Bulletins |
Múltiples vulnerabilidades en Pidgin |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Pidgin < 2.6.2 |
Description |
|
|
Se han descubierto múltiples vulnerabilidades en Pidgin. Las vulnerabilidades son descritas a continuación: - CVE-2009-2703: La vulnerabilidad reside en un error en el plugin libpurple en "libpurple/protocols/irc/msgs.c". Un atacante remoto podría causar una denegación de servicio mediante un mensaje TOPIC con una cadena especialmente diseñada. - CVE-2009-3026: La vulnerabilidad reside en un error en libpurple que no cumple la preferencia "requerir TLS/SSL" en "protocols/jabber/auth.c". Un atacante remoto podría esnifar sesiones cifradas. - CVE-2009-3083: La vulnerabilidad reside en un error en la función "msn_slp_sip_recv". Un atacante remoto podría causar una denegación de servicio mediante un mensaje SLP sin algunos campos. - CVE-2009-3085: La vulnerabilidad reside en un error en el protocolo XMPP en el manejo de errores IQ. Un atacante remoto podría causar una denegación de servicio mediante un contenido XHTML-IM con imágenes "cid:". |
|
Solution |
|
|
Actualización de software Red Hat (RHSA-2009:1453-1) RHEL Desktop Workstation (v. 5 cliente) RHEL Optional Productivity Applications (v. 5 servidor) RHEL Optional Productivity Applications EUS (v. 5.4.z servidor) Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux AS (v. 4.8.z) Red Hat Enterprise Linux Desktop (v. 5 cliente) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux ES (v. 4.8.z) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ Red Hat (RHSA-2009:1535-1) Red Hat Desktop (v. 3) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux WS (v. 3) https://rhn.redhat.com/ Suse Linux Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux. |
|
Standar resources |
|
| Property | Value |
| CVE |
CVE-2009-2703 CVE-2009-3026 CVE-2009-3083 CVE-2009-3085 |
| BID | 36277 |
Other resources |
|
|
Red Hat Security Advisory (RHSA-2009:1453-1) https://rhn.redhat.com/errata/RHSA-2009-1453.html Red Hat Security Advisory (RHSA-2009:1535-1) https://rhn.redhat.com/errata/RHSA-2009-1535.html SUSE Security Advisory (SUSE-SR:2009:020) http://www.novell.com/linux/security/advisories/2009_20_sr.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2009-09-24 |
| 1.1 | Aviso emitido por Red Hat (RHSA-2009:1535-1) | 2009-11-10 |
| 1.2 | Aviso emitido por Suse (SUSE-SR:2009:020) | 2010-01-19 |