已发现在多协议即时消息传递客户端 Pidgin 中，无效的 XML 文件由恶意服务器发送时可触发越界内存访问。这可能会导致崩溃，或者在一些极端情况下，还可能导致客户端的远程代码执行。对于 Debian 7“Wheezy”，这些问题已在 2.10.10-1~deb7u3 版本中修复。建议您升级 pidgin 程序包。注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动整理和排版。

Joseph Bisch 发现 Pidgin 未能正确处理某些 xml 消息。远程攻击者可利用此问题导致 Pidgin 崩溃，从而导致拒绝服务或可能执行任意代码。

请注意，Tenable Network Security 已直接从 Ubuntu 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

在多协议即时消息客户端 Pidgin 中发现一个漏洞。攻击者控制的服务器可以发送无效 XML，其可触发越界内存访问。这可能会导致崩溃，或者在一些极端情况下，还可能导致客户端的远程代码执行。

为 Slackware 13.0、13.1、13.37、14.0、14.1、14.2 以及当前版本提供了用于修复安全问题的新 pidgin 程序包。

远程主机受到 GLSA-201706-10 中所述漏洞的影响（Pidgin：任意代码执行）Joseph Bisch 发现 Pidgin 未能正确处理某些 xml 消息。影响：远程攻击者可发送特别构建的即时消息，从而可能导致以 Pidgin 进程的权限执行任意代码。解决方法：目前无任何已知的解决方法。

pidgin 的更新现在可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Pidgin 是即时消息程序，可以同时登录到多种即时消息网络上的多个帐户。下列程序包已升级到更高的上游版本：pidgin (2.10.11)。(BZ#1369526) 安全修复：* 在 Pidgin 的 Mxit 插件处理图释的方式中发现拒绝服务缺陷。恶意远程服务器或中间人攻击者可能会利用此缺陷，通过发送特制的图释，造成 Pidgin 崩溃。(CVE-2014-3695) * 在 Pidgin 解析 Groupwise 服务器消息的方式中发现拒绝服务缺陷。恶意远程服务器或中间人攻击者可利用此缺陷，通过发送特制的消息，造成 Pidgin 消耗过量内存，可能导致崩溃。(CVE-2014-3696) * 在 Pidgin 解析 XMPP 消息的方式中发现信息泄露缺陷。恶意远程服务器或中间人攻击者，可利用此缺陷，通过发送特制的 XMPP 消息，泄露属于 Pidgin 进程的内存部分。(CVE-2014-3698) * 在 Pidgin 处理 XML 内容的方式中发现越界写入缺陷。恶意远程服务器可利用此缺陷造成 Pidgin 崩溃，或在 pidgin 进程的环境中执行任意代码。(CVE-2017-2640) * 已发现 Pidgin 的 SSL/TLS 插件在证书验证功能中存在缺陷。攻击者会利用此缺陷创建 Pidgin 信任的假证书，其可用来针对 Pidgin 进行中间人攻击。(CVE-2014-3694) Red Hat 在此感谢 Pidgin 项目报告这些问题。上游感谢 CVE-2014-3695 和 CVE-2014-3696 的原始报告者 Yves Younan (Cisco Talos) 和 Richard Johnson (Cisco Talos)；CVE-2014-3698 的原始报告者 Thijs Alkemade 和 Paul Aurich；以及 CVE-2014-3694 的原始报告者 Moxie Marlinspike。其他更改：如需有关此发行版本的详细变更信息，请参阅可从“参考”部分链接的 Red Hat Enterprise Linux 7.4 版本说明。

pidgin 更新现可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Pidgin 是即时消息程序，可以同时登录到多种即时消息网络上的多个帐户。下列程序包已升级到更高的上游版本：pidgin (2.10.11)。(BZ#1369526) 安全修复：* 在 Pidgin 的 Mxit 插件处理图释的方式中发现拒绝服务缺陷。恶意远程服务器或中间人攻击者可能会利用此缺陷，通过发送特制的图释，造成 Pidgin 崩溃。(CVE-2014-3695) * 在 Pidgin 解析 Groupwise 服务器消息的方式中发现拒绝服务缺陷。恶意远程服务器或中间人攻击者可利用此缺陷，通过发送特制的消息，造成 Pidgin 消耗过量内存，可能导致崩溃。(CVE-2014-3696) * 在 Pidgin 解析 XMPP 消息的方式中发现信息泄露缺陷。恶意远程服务器或中间人攻击者，可利用此缺陷，通过发送特制的 XMPP 消息，泄露属于 Pidgin 进程的内存部分。(CVE-2014-3698) * 在 Pidgin 处理 XML 内容的方式中发现越界写入缺陷。恶意远程服务器可利用此缺陷造成 Pidgin 崩溃，或在 pidgin 进程的环境中执行任意代码。(CVE-2017-2640) * 已发现 Pidgin 的 SSL/TLS 插件在证书验证功能中存在缺陷。攻击者会利用此缺陷创建 Pidgin 信任的假证书，其可用来针对 Pidgin 进行中间人攻击。(CVE-2014-3694) Red Hat 在此感谢 Pidgin 项目报告这些问题。上游感谢 CVE-2014-3695 和 CVE-2014-3696 的原始报告者 Yves Younan (Cisco Talos) 和 Richard Johnson (Cisco Talos)；CVE-2014-3698 的原始报告者 Thijs Alkemade 和 Paul Aurich；以及 CVE-2014-3694 的原始报告者 Moxie Marlinspike。其他更改：如需有关此发行版本的详细变更信息，请参阅可从“参考”部分链接的 Red Hat Enterprise Linux 7.4 发行说明。

远程 Windows 主机上安装的 Pidgin 版本低于 2.12.0。由于在处理以空格间隔的无效 XML 实体时，会触发 purple_markup_unescape_entity() 函数中的越界写入错误，因而会受到 util.c 中 libpurple 库的远程代码执行漏洞影响。未经身份验证的远程攻击者可利用此问题，通过恶意服务器，执行任意代码。

来自 Red Hat 安全公告 2017:1854： pidgin 的更新现在可用于 Red Hat Enterprise Linux 7。 Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。 Pidgin 是即时消息程序，可以同时登录到多种即时消息网络上的多个帐户。 下列程序包已升级到更新的上游版本： pidgin (2.10.11)。(BZ#1369526) 安全补丁： * 在 Pidgin 的 Mxit 插件处理图释的方式中发现拒绝服务缺陷。恶意远程服务器或中间人攻击者可能会利用此缺陷，通过发送特制的图释，造成 Pidgin 崩溃。(CVE-2014-3695) * 在 Pidgin 解析 Groupwise 服务器消息的方式中发现拒绝服务缺陷。恶意远程服务器或中间人攻击者可利用此缺陷，通过发送特制的消息，造成 Pidgin 消耗过量内存，可能导致崩溃。(CVE-2014-3696) * 在 Pidgin 解析 XMPP 消息的方式中发现信息泄露缺陷。恶意远程服务器或中间人攻击者，可利用此缺陷，通过发送特制的 XMPP 消息，泄露属于 Pidgin 进程的内存部分。(CVE-2014-3698) * 在 Pidgin 处理 XML 内容的方式中发现越界写入缺陷。恶意远程服务器可利用此缺陷造成 Pidgin 崩溃，或在 pidgin 进程的环境中执行任意代码。(CVE-2017-2640) * 已发现 Pidgin 的 SSL/TLS 插件在证书验证功能中存在缺陷。攻击者会利用此缺陷创建 Pidgin 信任的假证书，其可用来针对 Pidgin 进行中间人攻击。 (CVE-2014-3694) Red Hat 在此感谢 Pidgin 项目报告这些问题。上游感谢 CVE-2014-3695 和 CVE-2014-3696 的原始报告者 Yves Younan (Cisco Talos) 和 Richard Johnson (Cisco Talos)；CVE-2014-3698 的原始报告者 Thijs Alkemade 和 Paul Aurich；以及 CVE-2014-3694 的原始报告者 Moxie Marlinspike。 更多变更： 如需有关此发行版本的详细变更信息，请参阅可从“参考”部分链接的 Red Hat Enterprise Linux 7.4 版本说明。

下列程序包已升级到更高的上游版本：pidgin (2.10.11)。安全修复：- 在 Pidgin 的 Mxit 插件处理图释的方式中发现拒绝服务缺陷。恶意远程服务器或中间人攻击者可能会利用此缺陷，通过发送特制的图释，造成 Pidgin 崩溃。(CVE-2014-3695) - 在 Pidgin 解析 Groupwise 服务器消息的方式中发现拒绝服务缺陷。恶意远程服务器或中间人攻击者可利用此缺陷，通过发送特制的消息，造成 Pidgin 消耗过量内存，可能导致崩溃。(CVE-2014-3696) - 在 Pidgin 解析 XMPP 消息的方式中发现信息泄露缺陷。恶意远程服务器或中间人攻击者，可利用此缺陷，通过发送特制的 XMPP 消息，泄露属于 Pidgin 进程的内存部分。(CVE-2014-3698) - 在 Pidgin 处理 XML 内容的方式中发现越界写入缺陷。恶意远程服务器可利用此缺陷造成 Pidgin 崩溃，或在 pidgin 进程的环境中执行任意代码。(CVE-2017-2640) - 已发现 Pidgin 的 SSL/TLS 插件在证书验证功能中存在缺陷。攻击者会利用此缺陷创建 Pidgin 信任的假证书，其可用来针对 Pidgin 进行中间人攻击。(CVE-2014-3694)

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
97669	Debian DLA-853-1：pidgin 安全更新	Nessus	Debian Local Security Checks	2017/3/13	2021/1/11	critical
97752	Ubuntu 14.04 LTS：Pidgin 漏洞 (USN-3231-1)	Nessus	Ubuntu Local Security Checks	2017/3/15	2023/10/20	critical
97644	Debian DSA-3806-1：pidgin - 安全更新	Nessus	Debian Local Security Checks	2017/3/10	2021/1/11	critical
97755	Slackware 13.0 / 13.1 / 13.37 / 14.0 / 14.1 / 14.2 / 当前版本：pidgin (SSA:2017-074-01)	Nessus	Slackware Local Security Checks	2017/3/16	2021/1/14	critical
100653	GLSA-201706-10：Pidgin：任意代码执行	Nessus	Gentoo Local Security Checks	2017/6/7	2021/1/11	critical
102102	RHEL 7 : pidgin (RHSA-2017:1854)	Nessus	Red Hat Local Security Checks	2017/8/2	2019/10/24	critical
102736	CentOS 7 : pidgin (CESA-2017:1854)	Nessus	CentOS Local Security Checks	2017/8/25	2021/1/4	critical
97947	Pidgin < 2.12.0 libpurple/util.c purple_markup_unescape_entity() XML 实体处理 RCE	Nessus	Windows	2017/3/24	2019/11/13	critical
102283	Oracle Linux 7 : pidgin (ELSA-2017-1854)	Nessus	Oracle Linux Local Security Checks	2017/8/9	2021/1/14	critical
102651	Scientific Linux 安全更新：SL7.x x86_64 上的 pidgin	Nessus	Scientific Linux Local Security Checks	2017/8/22	2021/1/14	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical