CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

15/02/2013

Vulnerabilidades en Pidgin

Se ha informado de varias vulnerabilidades en Pidgin, que podrían ser aprovechadas por atacantes maliciosos para modificar determinada información, provocar una Denegación de Servicio y coomprometer el sistema de un usuario.

Riesgo: Alto

Se ha informado de varias vulnerabilidades en Pidgin, que podrían ser aprovechadas por atacantes maliciosos para modificar determinada información, provocar una Denegación de Servicio y coomprometer el sistema de un usuario.

1) Un error en el plugin del protocolo MXit cuando guarda imágenes podría ser explotado para sobreescribir determinados ficheros.

2) Un error de límites en la función "mxit_cb_http_read()" (libpurple/protocols/mxit/http.c) cuando se procesan cabeceras HTTP de entrada podría ser aprovechado apra provocar un desbordamiento de pila a través de cabeceras HTTP especialmente manipuladas.

La explotación con éxito de este vulnerabilidad podría permitir la ejecución de código arbitrario.

3) Un error en la función "mw_prpl_normalize()" (libpurple/protocols/sametime/sametime.c) cuando manipula IDs de usuario mayores de 4096 bytes de longitud podría ser explotado para provocar una caída del sistema.

4) Algunos errores en las funciones "upnp_parse_description_cb()", "purple_upnp_discover_send_broadcast()",
"looked_up_public_ip_cb()", "looked_up_internal_ip_cb()", "purple_upnp_set_port_mapping()" y
"purple_upnp_remove_port_mapping()" (libpurple/upnp.c) cuando manejan peticiones UPnP podrían ser aprovechados para
provocar una caída del sistema.

Las vulnerabilidades está reportadas en la versión 2.10.6. Las versiones anteriores también podrían verse afectadas.

Sistemas Afectados:

Pidgin 2.x 

Referencias:

CVE-2013-0271, CVE-2013-0272, CVE-2013-0273, CVE-2013-0274

Solución:

Actualizar a la versión 2.10.7.

Notas:

Pidgin:
http://www.pidgin.im/news/security/?id=65
http://www.pidgin.im/news/security/?id=66
http://www.pidgin.im/news/security/?id=67
http://www.pidgin.im/news/security/?id=68

Fuente: Secunia Advisories

CSIRT-CV