已修复了 pidgin 中的多种远程可触发崩溃：

- 在某些情况下，MSN 服务器发送非 UTF-8 编码的文本，而 Pidgin 不能验证此类文本的编码。在某些情况下，这可造成尝试显示文本 () 时崩溃。(CVE-2012-1178)

- 包含特定字符或字符编码的传入消息可造成客户端崩溃。(CVE-2012-1178/ CVE-2012-2318)

- 一系列特别构建的文件传输请求可导致客户端引用无效内存。用户必须已接受文件传输请求之一。
 (CVE-2012-2214)

Pidgin 报告：

一系列特别构建的文件传输请求可导致客户端引用无效内存。用户必须已接受文件传输请求之一。

已在 pidgin 中发现并修正了多种漏洞：

一系列特别构建的文件传输请求可导致客户端引用无效内存。用户必须已接受其中一个文件传输请求 (CVE-2012-2214)。

具有某些字符串或字符串编码的传入消息可造成客户端崩溃 (CVE-2012-2318)。

此更新提供不易受到这些问题影响的 pidgin 2.10.4。

CVE-2012-2214 和 CVE-2012-2318 的补丁。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

远程主机上安装的 Pidgin 版本低于 2.10.4，因此可能受到以下问题的影响：

  - “libpurple/proxy.c”文件冲存在一个错误，可允许某些对要取消引用的无效指针的文件传输请求，从而导致应用程序崩溃。(CVE-2012-2214)

  - “libpurple/protocols/msn/msg.c”文件中的“msn_message_parse_payload”函数中存在一个错误，可允许某些字符或字符编码导致应用程序崩溃。(CVE-2012-2318)

远程 Solaris 系统缺少用于处理安全更新的必要修补程序：

  - 2.10.4 之前的 Pidgin 中的 proxy.c libpurple 无法正确处理已取消的 SOCKS5 连接尝试，从而允许由用户协助的远程身份验证用户通过 XMPP 文件传输请求序列造成拒绝服务（应用程序崩溃）。(CVE-2012-2214)

  - 2.10.4 之前的 Pidgin 中 libpurple 中的 MSN 协议插件无法正确处理构建的字符，从而允许远程服务器通过在 text/ plain 消息中放置这些字符而造成拒绝服务（应用程序崩溃）。(CVE-2012-2318)

Evgeny Boger 发现 AIM 和 ICQ 协议处理程序中的 Pidgin 未正确处理好友列表消息。远程攻击者可发送特别构建的消息并导致 Pidgin 崩溃，从而造成拒绝服务。此问题仅影响 Ubuntu 10.04 LTS、11.04 和 11.10。(CVE-2011-4601)

Thijs Alkemade 发现 XMPP 协议处理程序中的 Pidgin 未正确处理畸形语音和视频聊天请求。远程攻击者可发送特别构建的消息并导致 Pidgin 崩溃，从而造成拒绝服务。此问题仅影响 Ubuntu 10.04 LTS、11.04 和 11.10。(CVE-2011-4602)

Diego Bauche Madero 发现 Pidgin 未正确处理 SILC 协议处理程序中的 UTF-8 序列。远程攻击者可发送特别构建的消息并导致 Pidgin 崩溃，从而造成拒绝服务。此问题仅影响 Ubuntu 10.04 LTS、11.04 和 11.10。(CVE-2011-4603)

Julia Lawall 发现 Pidgin 未正确清除密码操作中使用的内存内容。攻击者可利用此问题来读取内存内容，从而导致信息泄露。此问题仅影响 Ubuntu 10.04 LTS。(CVE-2011-4922)

Clemens Huebner 和 Kevin Stange 发现 XMPP 协议处理程序中的 Pidgin 未正确处理聊天室内的昵称变更。远程攻击者可通过更改昵称来利用此问题，从而导致拒绝服务。此问题只影响 Ubuntu 11.10。
(CVE-2011-4939)

Thijs Alkemade 发现 MSN 协议处理程序中的 Pidgin 未正确处理离线即时消息。远程攻击者可发送特别构建的消息并导致 Pidgin 崩溃，从而造成拒绝服务。此问题仅影响 Ubuntu 10.04 LTS、11.04 和 11.10。(CVE-2012-1178)

José Valentín Gutiérrez 发现 XMPP 协议处理程序中的 Pidgin 在文件传输请求期间未正确处理 SOCKS5 代理连接。远程攻击者可发送特别构建的请求造成 Pidgin 崩溃，从而导致拒绝服务。
此问题仅影响 Ubuntu 12.04 LTS 和 11.10。(CVE-2012-2214)

Fabian Yamaguchi 发现 MSN 协议处理程序中的 Pidgin 未正确处理畸形消息。远程攻击者可发送特别构建的消息并导致 Pidgin 崩溃，从而造成拒绝服务。(CVE-2012-2318)

Ulf Härnhammar 发现 MXit 协议处理程序中的 Pidgin 未正确处理包含内联图像的消息。远程攻击者可发送特别构建的消息并可能以用户权限执行任意代码。(CVE-2012-3374)。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
59682	SuSE 10 安全更新：finch、libpurple 和 pidgin（ZYPP 修补程序 8131）	Nessus	SuSE Local Security Checks	2012/6/25	2021/1/19	medium
59085	FreeBSD：libpurple -- 通过处理一系列特别构建的文件传输请求在 XMPP 协议插件中造成的无效内存取消引用 (64f8b72d-9c4e-11e1-9c94-000bcdf0a03b)	Nessus	FreeBSD Local Security Checks	2012/5/14	2021/1/6	low
61954	Mandriva Linux 安全公告：krbpidgin（MDVSA-2012:082）	Nessus	Mandriva Local Security Checks	2012/9/6	2021/1/6	medium
59435	Fedora 16：pidgin-2.10.4-1.fc16 (2012-8686)	Nessus	Fedora Local Security Checks	2012/6/11	2021/1/11	medium
59317	Pidgin < 2.10.4 多种 DoS 漏洞	Nessus	Windows	2012/5/31	2018/7/24	medium
59353	Fedora 17：pidgin-2.10.4-1.fc17 (2012-8687)	Nessus	Fedora Local Security Checks	2012/6/4	2021/1/11	medium
59433	Fedora 15：pidgin-2.10.4-1.fc15 (2012-8669)	Nessus	Fedora Local Security Checks	2012/6/11	2021/1/11	medium
80738	Oracle Solaris 第三方修补程序更新：pidgin (multiple_vulnerabilities_in_pidgin)	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	medium
64128	SuSE 11.1 安全更新：finch、libpurple 和 pidgin（SAT 修补程序 6294）	Nessus	SuSE Local Security Checks	2013/1/25	2021/1/19	medium
64129	SuSE 11.1 安全更新：finch、libpurple 和 pidgin（SAT 修补程序 6294）	Nessus	SuSE Local Security Checks	2013/1/25	2021/1/19	medium
59903	Ubuntu 10.04 LTS / 11.04 / 11.10 / 12.04 LTS：pidgin 漏洞 (USN-1500-1)	Nessus	Ubuntu Local Security Checks	2012/7/10	2019/9/19	high

检测

插件搜索

medium

low

medium

medium

medium

medium

medium

medium

medium

medium

high