• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2453-2 gajim -- несколько уязвимостей

Главная Специалистам База уязвимостей DSA-2453-2 gajim -- несколько уязвимостей

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
gajim (any)
Описание
В Gajim, полнофункциональном Jabber-клиенте, было обнаружено несколько
уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:

CVE-2012-1987
    Gajim неправильно выполняет очистку входных данных до передачи их командам
    командной оболочки. Злоумышленник может использовать эту уязвимость для выполнения произвольного кода
    от лица жертвы при условии, что пользователь, например, кликает на специально сформированный
    URL в мгновенном сообщении.
CVE-2012-2093
    Gajim использует предсказуемые временные файлы небезопасным способом при
    преобразовании мгновенных сообщений, содержащих код LaTeX в изображения. Локальный
    злоумышленник может использовать эту уязвимость для выполнения атаки через символьные ссылки и перезаписи
    файлов, к которым жертва имеет доступ с правами на запись.
CVE-2012-2086
    Gajim неправильно выполняет очистку входных данных при ведении журнала общения,
    что приводит к возможности выполнения SQL-инъекции.

В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 0.13.4-3+squeeze3.
В тестируемом выпуске (wheezy) эта проблема была исправлена в
версии 0.15-1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 0.15-1.
Рекомендуется обновить пакеты gajim.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
gajim - 0.13.4-3+squeeze3
Ссылки
http://www.debian.org/security/dsa-2453/

Источник: CVE
Наименование: CVE-2012-2093
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2093

Источник: CVE
Наименование: CVE-2012-2085
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2085

Источник: CVE
Наименование: CVE-2012-2086
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2086