Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

05/02/2014

Múltiples vulnerabilitats en Pidgin

S’ha publicat una nova versió del popular client de missatgeria instantània Pidgin, que soluciona múltiples errors de seguretat.

Pidgin és un programa de missatgeria instantània multicompte i multiprotocol distribuït sota llicència GNU GPL. Permet, per tant, connectar-se de manera simultània a diversos servicis de missatgeria com AIM, MSN, Jabber, Gtalk o ICQ entre altres.

Les vulnerabilitats són les següents:

• CVE-2014-0020: denegació de servici a través de missatges IRC amb arguments manipulats.
• CVE-2013-6490: desbordament de memòria intermèdia a través d’una capçalera SIMPLE amb Content-Length negatiu.
• CVE-2013-6489: desbordament de memòria intermèdia a través d’una emoticona Mxit manipulat.
• CVE-2013-6487: desbordament de memòria intermèdia en Gadu-Gadu.
• CVE-2013-6486: execució de fitxers no confiables al fer clic en URI file://.
• CVE-2013-6485: desbordament de memòria intermèdia al processar respostes HTTP de tipus Chunked Transfer-Encoding.
• CVE-2013-6484: denegació de servici a través de respostes manipulades d’un servidor STUN.
• CVE-2013-6483: referència a punter nul en XMPP a través de respostes “iq” amb origen manipulat.
• CVE-2013-6482: múltiples referències a punter Nul en MSN.
• CVE-2013-6481: denegació de servici en el connector del protocol Yahoo! al llegir fora de límits d’un missatge P2P.
• CVE-2013-6479: denegació de servici a través de respostes HTTP manipulades.
• CVE-2013-6478: denegació de servici al mostrar URL massa grans en una finestra de tipus 'tooltip'.
• CVE-2013-6477: denegació de servici a través de missatges XMPP amb marques de temps manipulades.
• CVE-2012-6152: denegació de servici en el connector del protocol Yahoo! al processar cadenes amb codificació diferent d’UTF-8.
• Denegació de servici en el renderitzatge d'alguns caràcters Unicode.

Sistemes Afectats:

Pidgin < 2.10.8

Referències:

CVE-2014-0020, CVE-2013-6490, CVE-2013-6489, CVE-2013-6487, CVE-2013-6486, CVE-2013-6485, CVE-2013-6484, CVE-2013-6483, CVE-2013-6482, CVE-2013-6481, CVE-2013-6479, CVE-2013-6478, CVE-2013-6477, CVE-2012-6152

Solució:

Actualitzar a la versió 2.10.8, disponible en la seua pàgina oficial de descàrregues.

Notes:

Hispasec una-al-dia

Pidgin Advisories:
Remotely triggerable crash in IRC argument parsing
Buffer overflow in SIMPLE header parking
Buffer overflow in MXit emoticon parsing
Buffer overflow in Gadu-Gadu HTTP parsing
Pidgin uses clickable links to untrusted executables
Buffer overflow parsing chunked HTTP responses
Crash reading response from STUN server
XMPP doesn't verify 'from' on some iq replies
NULL pointer dereference parsing SOAP data in MSN
NULL pointer dereference parsing OIM data in MSN
NULL pointer dereference parsing headers in MSN
Remote crash reading Yahoo! P2P message
Remote crash parsing HTTP responses
Crash when hovering pointer over a long URL
Crash handling bad XMPP timestamp
Yahoo! remote crash from incorrect character encoding
Windows Pidgin crash receiving some characters

CSIRT-CV