Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Описание
Плагин NSS в libpurple в Pidgin не проверяет SSL-сертификаты, что позволяет злоумышленникам, действующим удаленно, обмануть пользователя и создать ситуацию, когда он подтвердит некорректный сертификат сервера для службы, которая подменена.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://pidgin.im/
http://pidgin.im/
Ссылки
CONFIRM (http://developer.pidgin.im/ticket/6500): http://developer.pidgin.im/ticket/6500
XF (pidgin-ssl-spoofing(44220)): http://xforce.iss.net/xforce/xfdb/44220
REDHAT (RHSA-2008:1023): http://www.redhat.com/support/errata/RHSA-2008-1023.html
MANDRIVA (MDVSA-2009:025): http://www.mandriva.com/security/advisories?name=MDVSA-2009:025
VUPEN (ADV-2008-2318): http://www.frsirt.com/english/advisories/2008/2318
CONFIRM (http://support.avaya.com/elmodocs2/security/ASA-2008-493.htm): http://support.avaya.com/elmodocs2/security/ASA-2008-493.htm
CONFIRM (http://developer.pidgin.im/attachment/ticket/6500/nss_add_rev.patch): http://developer.pidgin.im/attachment/ticket/6500/nss_add_rev.patch
MISC (http://developer.pidgin.im/attachment/ticket/6500/nss-cert-verify.patch): http://developer.pidgin.im/attachment/ticket/6500/nss-cert-verify.patch
CONFIRM (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=492434): http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=492434
XF (pidgin-ssl-spoofing(44220)): http://xforce.iss.net/xforce/xfdb/44220
REDHAT (RHSA-2008:1023): http://www.redhat.com/support/errata/RHSA-2008-1023.html
MANDRIVA (MDVSA-2009:025): http://www.mandriva.com/security/advisories?name=MDVSA-2009:025
VUPEN (ADV-2008-2318): http://www.frsirt.com/english/advisories/2008/2318
CONFIRM (http://support.avaya.com/elmodocs2/security/ASA-2008-493.htm): http://support.avaya.com/elmodocs2/security/ASA-2008-493.htm
CONFIRM (http://developer.pidgin.im/attachment/ticket/6500/nss_add_rev.patch): http://developer.pidgin.im/attachment/ticket/6500/nss_add_rev.patch
MISC (http://developer.pidgin.im/attachment/ticket/6500/nss-cert-verify.patch): http://developer.pidgin.im/attachment/ticket/6500/nss-cert-verify.patch
CONFIRM (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=492434): http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=492434