[Sec-cert] UPDATE: DFN-CERT-2014-0123 Pidgin: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Fedora][RedHat][Windows]

portal at dfn-cert.de portal at dfn-cert.de
Fr Feb 7 15:30:03 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 4 (07.02.2014):
    Ubuntu hat Fehlerkorrekturen bereitgestellt.
  Version 3 (06.02.2014):
    Redhat hat durch Backports mit Version 2.6.6-32 Fehlerkorrekturen
    bereitgestellt.
  Version 2 (05.02.2014):
    Der Hersteller veröffentlicht Sicherheitspatches für Fedora 19 und 20, die
    bis auf CVE-2013-6486 die Schwachstellen in Pidgin beheben.
  Version 1 (30.01.2014):
    Neues Advisory

Betroffene Software:

  Pidgin <= 2.10.7
  

Betroffene Plattformen:

  Canonical Ubuntu Linux 12.04 Lts
  Canonical Ubuntu Linux 12.10
  Canonical Ubuntu Linux 13.10
  GNU/Linux GNU/Linux
  Microsoft Windows 
  Red Hat Enterprise Linux 6 Server
  Red Hat Enterprise Linux 6 Workstation
  Red Hat Enterprise Linux Desktop 5 Client
  Red Hat Enterprise Linux Desktop 5 Workstation/Client
  Red Hat Enterprise Linux Desktop 6.0
  Red Hat Fedora 19
  Red Hat Fedora 20
  


Mehrere Schwachstellen in unterschiedlichen Komponenten von Pidgin
ermöglichen es einem entfernten, nicht authentifizierten Angreifer einen
Denial-of-Service-Angriff durch- oder beliebige Befehle auszuführen.


Patch:

  Fedora 20 Update FEDORA-2014-2013

  <https://admin.fedoraproject.org/updates/FEDORA-2014-2013/pidgin-2.10.9-1.fc20>

Patch:

  Fedora 19 Update FEDORA-2014-1999

  <https://admin.fedoraproject.org/updates/FEDORA-2014-1999/pidgin-2.10.9-1.fc19>

Patch:

  Redhat Security Advisory RHSA-2014:0139-1

  <http://rhn.redhat.com/errata/RHSA-2014-0139.html>

Patch:

  Ubuntu Security Notice USN-2100-1

  <http://www.ubuntu.com/usn/usn-2100-1>


CVE-2014-0020: Schwachstelle in Pidgin

  Eine Schwachstelle in Pidgin bei der Behandlung von IRC Nachrichten führt zu
  einem Anwendungsabsturz, wenn nicht genug Parameter zu einer Nachricht
  gesendet werden.


CVE-2013-6490: Pufferüberlauf Schwachstelle in Pidgin

  In der Funktion sipmsg_parse_header() kommt es zu einem Pufferüberlauf, wenn
  die Länge einer SIP/SIMPLE Nachricht als -1 im Header angegeben ist. Ein
  entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
  ausnutzen, um beliebige Befehle auszuführen.


CVE-2013-6489: Pufferüberlauf in Pidgin

  Eine Schwachstelle in Pidgin in der Implementierung des MXit Protokoll führt
  dazu, dass beim Parsen von emoticons ein Pufferüberlauf auftritt.


CVE-2013-6487: Schwachstelle in Pidgin Gadu Gadu

  Eine Schwachstelle in der Implementierung des Gadu Gadu Protokolls führt
  dazu, dass die Längenangabe einer HTTP Anfrage nicht korrekt geprüft wird,
  wodurch es zu einem Heap-Überlauf und in der Folge zu einem
  Denial-of-Service-Zustand kommen kann.


CVE-2013-6486: Schwachstelle in Pidgin 

  Eine Schwachstelle in der Behandlung von file:// URLs in Pidgin führt dazu,
  dass Pfade zu ausführbaren Dateien in der URL angegeben werden können und
  die Dateien dann ausgeführt werden. 


CVE-2013-6485: Schwachstelle in Pidgin ermöglicht Befehlsausführung

  Eine Schwachstelle in Pidgin führt dazu, das HTTP Antworten, die stückweise
  (chunked) empfangen werden, nicht korrekt geparst werden und es zu einem
  Pufferüberlauf kommt. 


CVE-2013-6484: DoS-Schwachstelle in Pidgin

  Eine Schwachstelle in Pidgin führt dazu, dass es im Fehlerfall beim Lesen
  einer Antwort eines STUN Servers zu einem Anwendungsabsturz kommt.


CVE-2013-6483: Schwachstelle in Pidgin XMPP

  Eine Schwachstelle in der Behandlung von XMPP führt dazu, dass die Identität
  des Absenders (IQ ID)  einer Nachricht nicht immer korrekt geprüft wird.


CVE-2013-6482: DoS-Schwachstellen in Pidgin MSN

  Mehrere Schwachstellen in der Behandlung von MSN Nachrichten-Headern, SOAP
  Antworten und OIM Daten führen zu NULL Pointer Verweisen.


CVE-2013-6481: Schwachstelle in Pidgin

  Eine Schwachstelle in der Behandlung von Yahoo Peer-to-Peer Nachrichten
  führt dazu, dass es durch das Lesen einer Nachricht zu einem
  Anwendungsabsturz kommen kann.


CVE-2013-6479: Schwachstelle in Pidgin

  Eine nicht näher beschrieben Schwachstelle in Pidgin führt dazu, dass es bei
  der Verarbeitung von HTTP Headern zu einem Anwendungsabsturz kommt.


CVE-2013-6478: Schwachstelle in Pidgin libX11

  Eine Schwachstelle in Pidgin bei der Anzeige von URLs im Tooltip führt dazu,
  dass URLs mit mehr als 200 Zeichen zu einem Anwendungsabsturz führen.


CVE-2013-6477: Schwachstelle in Pidgin XMPP 

  Eine Schwachstelle in der XMPP Implementierung führt dazu, dass gefälschte
  Zeitstempel mit extremen Werten zu einem Absturz der Anwendung führen.


CVE-2012-6152: Schwachstelle in Pidgin Yahoo

  Die Implementierung des Yahoo!-Protokolls in libpurple in Pidgin vor Version
  2.10.8 validiert UTF-8 Daten nicht fehlerfrei. Dies ermöglicht einem
  entfernten, nicht authentifizierten Angreifer durch das Senden von
  präparierten nicht UTF-8-Zeichenketten die Anwendung zum Absturz zu bringen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0123/>

Schwachstelle CVE-2013-6490 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6490>

Schwachstelle CVE-2012-6152 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6152>

Schwachstelle CVE-2013-6481 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6481>

Schwachstelle CVE-2014-0020 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0020>

Schwachstelle CVE-2013-6478 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6478>

Schwachstelle CVE-2013-6482 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6482>

Schwachstelle CVE-2013-6489 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6489>

Schwachstelle CVE-2013-6479 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6479>

Schwachstelle CVE-2013-6487 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6487>

Schwachstelle CVE-2013-6483 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6483>

Schwachstelle CVE-2013-6477 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6477>

Schwachstelle CVE-2013-6484 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6484>

Schwachstelle CVE-2013-6485 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6485>

Schwachstelle CVE-2013-6486 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6486>

Fedora 20 Update FEDORA-2014-2013:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-2013/pidgin-2.10.9-1.fc20>

Fedora 19 Update FEDORA-2014-1999:
  <https://admin.fedoraproject.org/updates/FEDORA-2014-1999/pidgin-2.10.9-1.fc19>

Redhat Security Advisory RHSA-2014:0139-1:
  <http://rhn.redhat.com/errata/RHSA-2014-0139.html>

Ubuntu Security Notice USN-2100-1:
  <http://www.ubuntu.com/usn/usn-2100-1>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=81>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=83>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=82>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=70>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=71>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=72>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=73>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=74>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=76>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=77>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=75>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=78>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=79>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=80>

pidgin Hersteller-Advisory:
  <https://www.pidgin.im/news/security/?id=85>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140207/7896dc53/attachment-0001.p7s>


Mehr Informationen über die Mailingliste Sec-cert