Ubuntu 12.04 LTS / 12.10 / 13.10：pidgin 漏洞 (USN-2100-1)

critical Nessus 插件 ID 72386

语言：

简介

远程 Ubuntu 主机缺少一个或多个与安全有关的修补程序。

描述

Thijs Alkemade 和 Robert Vehse 发现 Pidgin 未正确处理 Yahoo! 协议。远程攻击者可利用此问题造成 Pidgin 崩溃，从而导致拒绝服务。
(CVE-2012-6152)

Jaime Breva Ribes 发现 Pidgin 未正确处理 XMPP 协议。远程攻击者可利用此问题造成 Pidgin 崩溃，从而导致拒绝服务。(CVE-2013-6477)

已发现 Pidgin 未正确处理长 URL。远程攻击者可利用此问题造成 Pidgin 崩溃，从而导致拒绝服务。(CVE-2013-6478)

Jacob Appelbaum 发现 Pidgin 未正确处理某些 HTTP 响应。恶意远程服务器或中间人可以利用此问题造成 Pidgin 崩溃，从而导致拒绝服务。(CVE-2013-6479)

Daniel Atallah 发现 Pidgin 未正确处理 Yahoo! 协议。远程攻击者可利用此问题造成 Pidgin 崩溃，从而导致拒绝服务。(CVE-2013-6481)

Fabian Yamaguchi 和 Christian Wressnegger 发现 Pidgin 未正确处理 MSN 协议。远程攻击者可利用此问题造成 Pidgin 崩溃，从而导致拒绝服务。
(CVE-2013-6482)

Fabian Yamaguchi 和 Christian Wressnegger 发现 Pidgin 未正确处理 XMPP iq 回复。远程攻击者可利用此问题欺骗消息。(CVE-2013-6483)

已发现 Pidgin 未正确处理 STUN 服务器响应。远程攻击者可利用此问题造成 Pidgin 崩溃，从而导致拒绝服务。(CVE-2013-6484)

Matt Jones 发现 Pidgin 未正确处理某些分块 HTTP 响应。恶意远程服务器或中间人可以利用此问题造成 Pidgin 崩溃，从而导致拒绝服务或可能执行任意代码。(CVE-2013-6485)

Yves Younan 和 Ryan Pentney 发现 Pidgin 未正确处理某些 Gadu-Gadu HTTP 消息。恶意远程服务器或中间人可以利用此问题造成 Pidgin 崩溃，从而导致拒绝服务或可能执行任意代码。
(CVE-2013-6487)

Yves Younan 和 Pawel Janic 发现 Pidgin 未正确处理 MXit 表情符号。远程攻击者可使用此问题导致 Pidgin 崩溃，从而导致拒绝服务或可能执行任意代码。(CVE-2013-6489)

Yves Younan 发现 Pidgin 未正确处理 SIMPLE 标头。
远程攻击者可使用此问题导致 Pidgin 崩溃，从而导致拒绝服务或可能执行任意代码。
(CVE-2013-6490)

Daniel Atallah 发现 Pidgin 未正确处理 IRC 参数解析。恶意远程服务器或中间人可以利用此问题造成 Pidgin 崩溃，从而导致拒绝服务。
(CVE-2014-0020)。

解决方案

更新受影响的 libpurple0 和/或 pidgin 程序包。

另见

https://usn.ubuntu.com/2100-1/

插件详情

严重性: Critical

ID: 72386

文件名: ubuntu_USN-2100-1.nasl

版本: 1.10

类型: local

代理: unix

系列: Ubuntu Local Security Checks

发布时间: 2014/2/7

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:pidgin, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.10, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:libpurple0

必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

易利用性: No known exploits are available

补丁发布日期: 2014/2/6

漏洞发布日期: 2014/2/6

参考资料信息

CVE: CVE-2012-6152, CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020

BID: 65188, 65192, 65195, 65243, 65492

USN: 2100-1