MagicLinux 7pidgin-2.10.11-5.el7 (AXSA:2017-1913:01)
critical Nessus 插件 ID 289267
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程iraclelinux 7 主机上存在安装的程序包该程序包受到公告 AXSA:2017-1913:01 中提及的多个漏洞的影响。Pidgin 可让您与使用多种消息协议的任何人对话包括 AIM、MSN、Yahoo!、Jabber、Bonjour、Gadu-Gadu、ICQ、IRC、Novell Groupwise、QQ、Lotus Sametime、SILC、Simple 和 Zephyr。这些协议采用易于使用的模块化设计。要使用协议,只需使用帐户编辑器添加帐户即可。
Pidgin 支持其他客户端的许多常见功能以及许多独特的功能例如 perl 脚本、TCL 脚本和 C 插件。
Pidgin 不隶属于 America Online, Inc.、Microsoft Corporation 和 Yahoo! Inc. 或 ICQ Inc.
CVE-2014-36942.10.10 之前的 Pidgin 中 (1) 捆绑的 GnuTLS SSL/TLS 插件和 (2) 捆绑的 OpenSSL SSL/TLS 插件libpurple 中没有在验证来自 SSL 服务器的 X.509 证书期间未正确考虑基本约束扩展。允许中间人攻击者通过构建的证书欺骗服务器并获取敏感信息。
CVE-2014-3695 在 2.10.10 之前的 Pidgin 中libpurple 中 MXit 协议插件中的 markup.c 允许远程服务器通过表情符号响应中的较大长度值造成拒绝服务应用程序崩溃。
CVE-2014-3696 在 2.10.10 之前的 Pidgin 中libpurple 中 Novell GroupWise 协议插件中的 nmevent.c 允许远程服务器通过构建的可触发大型内存分配的服务器消息来造成拒绝服务应用程序崩溃。
CVE-2014-3698 在 2.10.10 之前版本的 Pidgin 中libpurple 中 Jabber 协议插件的 jutil.c 的 jabber_idn_validate 函数允许远程攻击者通过构建的 XMPP 消息从进程内存获取敏感信息。
CVE-2017-2640
** 已预留 ** 该候选编码已被某个组织或个人预留,将在公告新的安全问题时使用。在公布候选编码时,将提供该候选编码的详情。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 libpurple 程序包。另见
插件详情
严重性: Critical
ID: 289267
文件名: miracle_linux_AXSA-2017-1913.nasl
版本: 1.1
类型: local
发布时间: 2026/1/16
最近更新时间: 2026/1/16
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2017-2640
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:libpurple
必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2017/8/28
漏洞发布日期: 2014/10/22
参考资料信息
CVE: CVE-2014-3694, CVE-2014-3695, CVE-2014-3696, CVE-2014-3698, CVE-2017-2640