Pidgin < 2.11.0 多种漏洞

high Nessus 插件 ID 91784

语言：

简介

远程 Windows 主机上安装的即时消息客户端受到多种漏洞的影响。

描述

远程主机上安装的 Pidgin 版本低于 2.11.0。
因此，它受到多种漏洞的影响：

- 处理 MXIT 协议时存在一个空指针取消引用缺陷。远程攻击者可利用此缺陷，通过构建的 MXIT 数据造成拒绝服务。
(CVE-2016-2365)

- 处理 MXIT 协议时存在多个越界读取错误。远程攻击者可利用这些错误，通过构建的 MXIT 数据造成拒绝服务。
（CVE-2016-2366、CVE-2016-2370）

- 处理 MXIT 协议时存在一个越界读取错误。远程攻击者可利用此错误，通过无效的虚拟形象大小，泄露内存内容或造成拒绝服务。(CVE-2016-2367)

- 处理 MXIT 协议时存在多个内存损坏问题。远程攻击者可利用这些问题，通过构建的 MXIT 数据泄露内存内容或执行任意代码。(CVE-2016-2368)

- 处理 MXIT 协议时存在一个空指针取消引用缺陷。远程攻击者可利用此缺陷，通过以空字节开头的构建的 MXIT 数据包造成拒绝服务。(CVE-2016-2369)

- 处理 MXIT 协议时存在一个越界写入错误。远程攻击者可利用此错误，通过构建的 MXIT 数据损坏内存，从而导致任意代码执行。(CVE-2016-2371)

- 处理 MXIT 协议时存在一个越界读取错误。远程攻击者可利用此错误，通过无效的文件传输大小，泄露内存内容或造成拒绝服务。(CVE-2016-2372)

- 处理 MXIT 协议时存在一个越界读取错误。远程攻击者可利用此错误，通过发送无效的 mood 造成拒绝服务。
(CVE-2016-2373)

- 处理 MXIT 协议时存在一个越界写入错误。远程攻击者可利用此错误，通过构建的 MXIT MultiMX 消息泄露内存内容或执行任意代码。(CVE-2016-2374)

- 处理 MXIT 协议时存在一个越界读取错误。远程攻击者可利用此错误，通过构建的 MXIT 联系信息泄露内存内容。(CVE-2016-2375)

- 处理 MXIT 协议时存在一个缓冲区溢出情况。远程攻击者可利用此问题，通过含有无效大小的构建的数据包来执行任意代码。(CVE-2016-2376)

- 处理 MXIT 协议时存在一个越界写入错误。远程攻击者可利用此错误，通过 HTTP 请求的负 content-length 响应造成拒绝服务。(CVE-2016-2377)

- 处理 MXIT 协议时存在一个缓冲区溢出情况。远程攻击者可利用此问题，通过使用负长度值的构建的数据造成拒绝服务。(CVE-2016-2378)

- MXIT 中存在一个缺陷，这是因为加密用户密码时使用了弱加密所导致。中间人攻击者如果能访问登录消息，便可利用此缺陷来冒充用户。(CVE-2016-2379)

- 处理 MXIT 协议时存在一个越界读取错误。远程攻击者可利用此错误，通过构建的本地消息泄露内存内容。
(CVE-2016-2380)

- 处理 MXIT 协议时存在一个目录遍历缺陷。远程攻击者可利用此缺陷，通过使用无效启动图像文件名的构建的 MXIT 数据来覆盖文件。(CVE-2016-4323)

- 存在一个不明漏洞，这是因为使用 GnuTLS 时未正确导入 X.509 证书所导致。无其他详细内容。
(VulnDB 140411)