Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
gajim
(any)
Описание
В Gajim, полнофункциональном Jabber-клиенте, было обнаружено несколько
уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2012-1987
Gajim неправильно выполняет очистку входных данных до передачи их командам
командной оболочки. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода
от лица жертвы при условии, что пользователь, например, кликает на специально сформированный
URL в мгновенном сообщении.
CVE-2012-2093
Gajim использует предсказуемые временные файлы небезопасным способом при
преобразовании мгновенных сообщений, содержащих код LaTeX в изображения. Локальный
злоумышленник может использовать эту уязвимость для выполнения атаки через символьные ссылки и перезаписи
файлов, к которым жертва имеет доступ с правами на запись.
CVE-2012-2086
Gajim неправильно выполняет очистку входных данных при ведении журнала общения,
что приводит к возможности выполнения SQL-инъекции.
В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 0.13.4-3+squeeze3.
В тестируемом выпуске (wheezy) эта проблема была исправлена в
версии 0.15-1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 0.15-1.
Рекомендуется обновить пакеты gajim.
уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2012-1987
Gajim неправильно выполняет очистку входных данных до передачи их командам
командной оболочки. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода
от лица жертвы при условии, что пользователь, например, кликает на специально сформированный
URL в мгновенном сообщении.
CVE-2012-2093
Gajim использует предсказуемые временные файлы небезопасным способом при
преобразовании мгновенных сообщений, содержащих код LaTeX в изображения. Локальный
злоумышленник может использовать эту уязвимость для выполнения атаки через символьные ссылки и перезаписи
файлов, к которым жертва имеет доступ с правами на запись.
CVE-2012-2086
Gajim неправильно выполняет очистку входных данных при ведении журнала общения,
что приводит к возможности выполнения SQL-инъекции.
В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 0.13.4-3+squeeze3.
В тестируемом выпуске (wheezy) эта проблема была исправлена в
версии 0.15-1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 0.15-1.
Рекомендуется обновить пакеты gajim.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
gajim - 0.13.4-3+squeeze3
Debian GNU/Linux 6:
noarch:
gajim - 0.13.4-3+squeeze3
Ссылки
http://www.debian.org/security/dsa-2453/
Источник: CVE
Наименование: CVE-2012-2093
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2093
Источник: CVE
Наименование: CVE-2012-2085
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2085
Источник: CVE
Наименование: CVE-2012-2086
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2086
Источник: CVE
Наименование: CVE-2012-2093
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2093
Источник: CVE
Наименование: CVE-2012-2085
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2085
Источник: CVE
Наименование: CVE-2012-2086
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2086