Scientific Linux 安全更新：SL3.x、SL4.x、SL5.x (i386/x86_64) 中的 pidgin

high Nessus 插件 ID 60589

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

在 Pidgin 使用可扩展通讯和表示协议 (XMPP) 发起文件传输的方式中发现一个缓冲区溢出缺陷。如果 Pidgin 客户端发起文件传输，而远程目标发送畸形响应，则可导致 Pidgin 崩溃，或者可能以运行 Pidgin 的用户的权限执行任意代码。此缺陷仅影响使用 XMPP 的帐户，例如 Jabber 和 Google Talk。(CVE-2009-1373)

在 Pidgin 的 QQ 协议解密处理程序中发现一个拒绝服务缺陷。当 QQ 协议解密数据包信息时，堆数据可被覆盖，从而可能导致 Pidgin 崩溃。(CVE-2009-1374)

在对 Pidgin 的 PurpleCircBuffer 对象进行扩展的方式中发现一个缺陷。如果更多数据到达时缓冲区已满，则此缓冲区中存储的数据将被损坏。这些损坏的数据可以造成将迷惑性或误导性数据呈现给用户，或者可能导致 Pidgin 崩溃。(CVE-2009-1375)

如果 Pidgin 客户端收到特别构建的 MSN 消息，则可能以运行 Pidgin 的用户的权限执行任意代码。(CVE-2009-1376)

注意：默认情况下，使用 MSN 帐户时，仅在您好友列表中的用户能够向您发送消息。这会防止任意 MSN 用户利用此缺陷。

必须重新启动 Pidgin，才能使此更新生效。