CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

15/02/2013

Vulnerabilitats a Pidgin

S’ha informat de diverses vulnerabilitats en Pidgin, que podrien ser aprofitades per atacants maliciosos per a modificar determinada informació, provocar una denegació de servici i comprometre el sistema d’un usuari.

Risc: Alt

1) Un error en el connector del protocol MXit quan guarda imatges podria ser explotat per a sobreescriure determinats fitxers.

2) Un error de límits en la funció "mxit_cb_http_read()" (libpurple/protocols/mxit/http.c) quan es processen capçaleres HTTP d’entrada podria ser aprofitat per a provocar un desbordament de pila a través de capçaleres HTTP especialment manipulades.

L’explotació amb èxit d’esta vulnerabilitat podria permetre l’execució de codi arbitrari.

3) Un error en la funció "mw_prpl_normalize()" (libpurple/protocols/sametime/sametime.c) quan manipula IDs d’usuari majors de 4096 bytes de longitud podria ser explotat per a provocar una caiguda del sistema.

4) Alguns errors en les funcions "upnp_parse_description_cb()", "purple_upnp_discover_send_broadcast()",
"looked_up_public_ip_cb()", "looked_up_internal_ip_cb()", "purple_upnp_set_port_mapping()" i
"purple_upnp_remove_port_mapping()" (libpurple/upnp.c) quan manegen peticions UPnP podrien ser aprofitats per a provocar una
caiguda del sistema.

Les vulnerabilitats està reportades en la versió 2.10.6. Les versions anteriors també podrien estar afectades.

Sistemes Afectats:

Pidgin 2.x

Referències:

CVE-2013-0271, CVE-2013-0272, CVE-2013-0273, CVE-2013-0274

Solució:

Actualitzeu a la versió 2.10.7.

Notes:

Pidgin:
http://www.pidgin.im/news/security/?id=65
http://www.pidgin.im/news/security/?id=66
http://www.pidgin.im/news/security/?id=67
http://www.pidgin.im/news/security/?id=68

Font: Secunia Advisories

CSIRT-CV