Pidgin < 2.10.8 多种漏洞
critical Nessus 插件 ID 72282
语言:
简介
远程 Windows 主机上安装的即时消息客户端受到多种漏洞的影响。描述
远程主机上安装的 Pidgin 的版本低于 2.10.8。因此,它可能会受到以下漏洞的影响:- 捆绑的 Pango 版本存在一个错误,该错误可在渲染字体和尝试显示某些 Unicode 字符时导致应用程序崩溃。
- 存在与处理不明字符、不正确的字符编码、不正确的 XMPP 时间戳、在长 URL 上方悬停指针、不明 HTTP 响应、Yahoo! P2P 消息、STUN 响应和 IRC 参数相关的错误,可造成应用程序崩溃和拒绝服务情况。
(CVE-2012-6152、CVE-2013-6477、CVE-2013-6478、CVE-2013-6479、CVE-2013-6481、CVE-2013-6484、CVE-2014-0020)
- 存在与处理 MSN SOAP、MSN OIM 和 MSN 标头内容相关的错误,可在取消引用空指针时造成应用程序崩溃。
(CVE-2013-6482)
- 存在一个与 XMPP 内容相关的错误,因此某些“iq”回复的“from”部分未得到验证。
(CVE-2013-6483)
- 存在与解析分块和 Gadu-Gadu HTTP 内容、MXit 表情符号和 SIMPLE 标头相关的错误,可允许缓冲区溢出。
(CVE-2013-6485、CVE-2013-6487、CVE-2013-6489、CVE-2013-6490)
- 应用程序不能防范连接到不受信任的可执行内容的链接。(CVE-2013-6486)
解决方案
升级到 Pidgin 2.10.8 或更高版本。另见
http://www.pidgin.im/news/security/?id=69
http://www.pidgin.im/news/security/?id=70
http://www.pidgin.im/news/security/?id=71
http://www.pidgin.im/news/security/?id=72
http://www.pidgin.im/news/security/?id=73
http://www.pidgin.im/news/security/?id=74
http://www.pidgin.im/news/security/?id=75
http://www.pidgin.im/news/security/?id=76
http://www.pidgin.im/news/security/?id=77
http://www.pidgin.im/news/security/?id=78
http://www.pidgin.im/news/security/?id=79
http://www.pidgin.im/news/security/?id=80
http://www.pidgin.im/news/security/?id=81
http://www.pidgin.im/news/security/?id=82
http://www.pidgin.im/news/security/?id=83
插件详情
严重性: Critical
ID: 72282
文件名: pidgin_2_10_8.nasl
版本: 1.7
类型: local
代理: windows
系列: Windows
发布时间: 2014/2/4
最近更新时间: 2019/11/26
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2013-6490
漏洞信息
CPE: cpe:/a:pidgin:pidgin
必需的 KB 项: SMB/Pidgin/Version
易利用性: No known exploits are available
补丁发布日期: 2014/1/28
漏洞发布日期: 2014/1/28
参考资料信息
CVE: CVE-2012-6152, CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6486, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020