Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

05/02/2014

Múltiples vulnerabilidades en Pidgin

Se ha publicado una nueva versión del popular cliente de mensajería instantánea Pidgin, que soluciona múltiples errores de seguridad.

Pidgin es un programa de mensajería instantánea multicuenta y multiprotocolo distribuido bajo licencia GNU GPL. Permite por tanto conectarse de manera simultánea a varios servicios de mensajería como AIM, MSN, Jabber, Gtalk o ICQ entre otros.

Las vulnerabilidades son las siguientes:

• CVE-2014-0020: Denegación de servicio a través de mensajes IRC con argumentos manipulados.
• CVE-2013-6490: Desbordamiento de memoria intermedia a través de una cabecera SIMPLE con Content-Length negativo.
• CVE-2013-6489: Desbordamiento de memoria intermedia a través de un emoticono Mxit manipulado.
• CVE-2013-6487: Desbordamiento de memoria intermedia en Gadu-Gadu.
• CVE-2013-6486: Ejecución de ficheros no confiables al hacer click en URIs file://.
• CVE-2013-6485: Desbordamiento de memoria intermedia al procesar respuestas HTTP de tipo 'Chunked Transfer-Encoding'.
• CVE-2013-6484: Denegación de servicio a través de respuestas manipuladas de un servidor STUN.
• CVE-2013-6483: Referencia a puntero nulo en XMPP a través de respuestas 'iq' con origen manipulado.
• CVE-2013-6482: Múltiples referencias a puntero Nulo en MSN.
• CVE-2013-6481: Denegación de servicio en el plugin del protocolo Yahoo! al leer fuera de límites de un mensaje P2P.
• CVE-2013-6479: Denegación de servicio a través de respuestas HTTP manipuladas.
• CVE-2013-6478: Denegación de servicio al mostrar URLs demasiado grandes en una ventana de tipo 'tooltip'.
• CVE-2013-6477: Denegación de servicio a través de mensajes XMPP con marcas de tiempo manipuladas.
• CVE-2012-6152: Denegación de servicio en el plugin del protocolo Yahoo! al procesar cadenas con codificación distinta a UTF-8.
• Denegación de servicio en el renderizado de algunos caracteres Unicode.

Sistemas Afectados:

Pidgin < 2.10.8

Referencias:

CVE-2014-0020, CVE-2013-6490, CVE-2013-6489, CVE-2013-6487, CVE-2013-6486, CVE-2013-6485, CVE-2013-6484, CVE-2013-6483, CVE-2013-6482, CVE-2013-6481, CVE-2013-6479, CVE-2013-6478, CVE-2013-6477, CVE-2012-6152

Solución:

Actualizar a la versión 2.10.8, disponible en su página oficial de descargas.

Notas:

Hispasec una-al-dia

Pidgin Advisories:
Remotely triggerable crash in IRC argument parsing
Buffer overflow in SIMPLE header parking
Buffer overflow in MXit emoticon parsing
Buffer overflow in Gadu-Gadu HTTP parsing
Pidgin uses clickable links to untrusted executables
Buffer overflow parsing chunked HTTP responses
Crash reading response from STUN server
XMPP doesn't verify 'from' on some iq replies
NULL pointer dereference parsing SOAP data in MSN
NULL pointer dereference parsing OIM data in MSN
NULL pointer dereference parsing headers in MSN
Remote crash reading Yahoo! P2P message
Remote crash parsing HTTP responses
Crash when hovering pointer over a long URL
Crash handling bad XMPP timestamp
Yahoo! remote crash from incorrect character encoding
Windows Pidgin crash receiving some characters

CSIRT-CV