Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
finch
(any)
finch-dev
(any)
libpurple0
(any)
libpurple-bin
(any)
libpurple-dev
(any)
pidgin
(any)
pidgin-data
(any)
pidgin-dbg
(any)
pidgin-dev
(any)
Описание
В Pidgin, клиенте обмена мгновенными сообщениями с поддержкой множества
протоколов, были обнаружены многочисленные уязвимости:
CVE-2013-6477
Джайм Брева Рибес обнаружил, что удалённый пользователь XMPP может вызвать
аварийное завершение работы приложения путём отправки сообщения, имеющего специальную временную отметку (из далёкого будущего).
CVE-2013-6478
Работа Pidgin может быть завершена аварийно из-за его перекрытия широкими окнами-подсказками.
CVE-2013-6479
Якоб Аппельбаум обнаружил, что вредоносный сервер или человек в
середине могут отослать некорректный заголовок HTTP, что приведёт к отказу
в обслуживании.
CVE-2013-6481
Дэниель Атолла обнаружил, что работа Pidgin может быть завершена аварийно из-за
некорректных сообщений Yahoo! P2P.
CVE-2013-6482
Фабиан Ямагучи и Кристиан Вресснеггер обнаружили, что работа Pidgin
может быть завершена аварийно из-за некорректных сообщений MSN.
CVE-2013-6483
Фабиан Ямагучи и Кристиан Вресснеггер обнаружили, что работа Pidgin
может быть завершена аварийно из-за некорректных сообщений XMPP.
CVE-2013-6484
Было обнаружено, что некорректная обработка ошибок при чтении
ответа от STUN-сервера может приводить к аварийному завершению работы.
CVE-2013-6485
Мэтт Джонс обнаружил переполнение буфера при обработке некорректных
ответов HTTP.
CVE-2013-6487
Ив Юнан и Райан Пентни обнаружили переполнение буфера при грамматическом разборе
сообщений Gadu-Gadu.
CVE-2013-6489
Ив Юнан и Павел Яник обнаружили переполнение целых чисел при грамматическом разборе
смайлов MXit.
CVE-2013-6490
Ив Юнан обнаружил переполнение буфера при грамматическом разборе заголовков SIMPLE.
CVE-2014-0020
Дэниель Атолла обнаружил, что работа Pidgin может быть завершена аварийно из-за некорректных
аргументов IRC.
Для предыдущего стабильного выпуска (squeeze) обратный перенос исправлений не предоставляется.
В скором времени исправленный пакет будет предоставлен через backports.debian.org.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 2.10.9-1~deb7u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 2.10.9-1.
Рекомендуется обновить пакеты pidgin.
протоколов, были обнаружены многочисленные уязвимости:
CVE-2013-6477
Джайм Брева Рибес обнаружил, что удалённый пользователь XMPP может вызвать
аварийное завершение работы приложения путём отправки сообщения, имеющего специальную временную отметку (из далёкого будущего).
CVE-2013-6478
Работа Pidgin может быть завершена аварийно из-за его перекрытия широкими окнами-подсказками.
CVE-2013-6479
Якоб Аппельбаум обнаружил, что вредоносный сервер или человек в
середине могут отослать некорректный заголовок HTTP, что приведёт к отказу
в обслуживании.
CVE-2013-6481
Дэниель Атолла обнаружил, что работа Pidgin может быть завершена аварийно из-за
некорректных сообщений Yahoo! P2P.
CVE-2013-6482
Фабиан Ямагучи и Кристиан Вресснеггер обнаружили, что работа Pidgin
может быть завершена аварийно из-за некорректных сообщений MSN.
CVE-2013-6483
Фабиан Ямагучи и Кристиан Вресснеггер обнаружили, что работа Pidgin
может быть завершена аварийно из-за некорректных сообщений XMPP.
CVE-2013-6484
Было обнаружено, что некорректная обработка ошибок при чтении
ответа от STUN-сервера может приводить к аварийному завершению работы.
CVE-2013-6485
Мэтт Джонс обнаружил переполнение буфера при обработке некорректных
ответов HTTP.
CVE-2013-6487
Ив Юнан и Райан Пентни обнаружили переполнение буфера при грамматическом разборе
сообщений Gadu-Gadu.
CVE-2013-6489
Ив Юнан и Павел Яник обнаружили переполнение целых чисел при грамматическом разборе
смайлов MXit.
CVE-2013-6490
Ив Юнан обнаружил переполнение буфера при грамматическом разборе заголовков SIMPLE.
CVE-2014-0020
Дэниель Атолла обнаружил, что работа Pidgin может быть завершена аварийно из-за некорректных
аргументов IRC.
Для предыдущего стабильного выпуска (squeeze) обратный перенос исправлений не предоставляется.
В скором времени исправленный пакет будет предоставлен через backports.debian.org.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 2.10.9-1~deb7u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 2.10.9-1.
Рекомендуется обновить пакеты pidgin.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
finch - 2.7.3-1+squeeze4
finch-dev - 2.7.3-1+squeeze4
libpurple-bin - 2.7.3-1+squeeze4
libpurple-dev - 2.7.3-1+squeeze4
libpurple0 - 2.7.3-1+squeeze4
pidgin - 2.7.3-1+squeeze4
pidgin-data - 2.7.3-1+squeeze4
pidgin-dbg - 2.7.3-1+squeeze4
pidgin-dev - 2.7.3-1+squeeze4
Debian GNU/Linux 6:
noarch:
finch - 2.7.3-1+squeeze4
finch-dev - 2.7.3-1+squeeze4
libpurple-bin - 2.7.3-1+squeeze4
libpurple-dev - 2.7.3-1+squeeze4
libpurple0 - 2.7.3-1+squeeze4
pidgin - 2.7.3-1+squeeze4
pidgin-data - 2.7.3-1+squeeze4
pidgin-dbg - 2.7.3-1+squeeze4
pidgin-dev - 2.7.3-1+squeeze4
Ссылки
http://www.debian.org/security/dsa-2859/
Источник: CVE
Наименование: CVE-2013-6483
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6483
Источник: CVE
Наименование: CVE-2013-6482
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6482
Источник: CVE
Наименование: CVE-2013-6481
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6481
Источник: CVE
Наименование: CVE-2013-6487
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6487
Источник: CVE
Наименование: CVE-2013-6485
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6485
Источник: CVE
Наименование: CVE-2013-6484
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6484
Источник: CVE
Наименование: CVE-2013-6489
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6489
Источник: CVE
Наименование: CVE-2014-0020
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0020
Источник: CVE
Наименование: CVE-2013-6477
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6477
Источник: CVE
Наименование: CVE-2013-6478
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6478
Источник: CVE
Наименование: CVE-2013-6479
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6479
Источник: CVE
Наименование: CVE-2013-6490
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6490
Источник: CVE
Наименование: CVE-2013-6483
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6483
Источник: CVE
Наименование: CVE-2013-6482
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6482
Источник: CVE
Наименование: CVE-2013-6481
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6481
Источник: CVE
Наименование: CVE-2013-6487
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6487
Источник: CVE
Наименование: CVE-2013-6485
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6485
Источник: CVE
Наименование: CVE-2013-6484
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6484
Источник: CVE
Наименование: CVE-2013-6489
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6489
Источник: CVE
Наименование: CVE-2014-0020
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0020
Источник: CVE
Наименование: CVE-2013-6477
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6477
Источник: CVE
Наименование: CVE-2013-6478
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6478
Источник: CVE
Наименование: CVE-2013-6479
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6479
Источник: CVE
Наименование: CVE-2013-6490
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6490