Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
finch
(any)
finch-dev
(any)
libpurple0
(any)
libpurple-bin
(any)
libpurple-dev
(any)
pidgin
(any)
pidgin-data
(any)
pidgin-dbg
(any)
pidgin-dev
(any)
Описание
В Pidgin, клиенте обмена мгновенными сообщения с поддержкой множества
протоколов, была обнаружена уязвимость. Сервер под управлением злоумышленника
может отправлять некорректные данные в формате XML, которые приводит к доступу
за пределы выделенного буфера памяти. Это может приводить к аварийной остановке,
а в некоторых крайних случаях к удалённому выполнению кода на стороне клиента.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 2.11.0-0+deb8u2.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 2.12.0-1.
Рекомендуется обновить пакеты pidgin.
протоколов, была обнаружена уязвимость. Сервер под управлением злоумышленника
может отправлять некорректные данные в формате XML, которые приводит к доступу
за пределы выделенного буфера памяти. Это может приводить к аварийной остановке,
а в некоторых крайних случаях к удалённому выполнению кода на стороне клиента.
В стабильном выпуске (jessie) эта проблема была исправлена в
версии 2.11.0-0+deb8u2.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 2.12.0-1.
Рекомендуется обновить пакеты pidgin.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
finch - 2.11.0-0+deb8u2
finch-dev - 2.11.0-0+deb8u2
libpurple-bin - 2.11.0-0+deb8u2
libpurple-dev - 2.11.0-0+deb8u2
libpurple0 - 2.11.0-0+deb8u2
pidgin - 2.11.0-0+deb8u2
pidgin-data - 2.11.0-0+deb8u2
pidgin-dbg - 2.11.0-0+deb8u2
pidgin-dev - 2.11.0-0+deb8u2
Debian GNU/Linux 8:
noarch:
finch - 2.11.0-0+deb8u2
finch-dev - 2.11.0-0+deb8u2
libpurple-bin - 2.11.0-0+deb8u2
libpurple-dev - 2.11.0-0+deb8u2
libpurple0 - 2.11.0-0+deb8u2
pidgin - 2.11.0-0+deb8u2
pidgin-data - 2.11.0-0+deb8u2
pidgin-dbg - 2.11.0-0+deb8u2
pidgin-dev - 2.11.0-0+deb8u2
Ссылки
http://www.debian.org/security/dsa-3806/
Источник: CVE
Наименование: CVE-2017-2640
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2640
Источник: CVE
Наименование: CVE-2017-2640
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2640