[Fedora] Mehrere Schwachstellen im Pidgin Instant Messenger vor Version 2.6.6 - FEDORA-2010-1934

WiN Site Security Contacts win-sec-ssc at lists.dfn-cert.de
Mo Feb 22 15:16:27 CET 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2010-0423 - Denial of Service Schwachstelle in Pidgin

  Der Instant Messenger Pidgin enthaelt eine Schwachstelle bei der
  Anzeige von Nachrichten und Multi-User Chats. Werden von einem
  Chat-Teilnehmer grosse Mengen von Smileys, wie beispielsweise ':-)',
  ':-(' oder ':-D' in eine Nachricht eingebaut, so kann es beim Parsen
  dieser Emoticons zu einer sehr hohen Prozessorauslastung kommen. Ein
  entfernter Angreifer kann diese Schwachstelle ausnutzen, um einen
  Denial of Service Angriff auf das Programm zu starten.

CVE-2010-0277 - Schwachstelle im MSN-Plugin fuer Pidgin

  Aufgrund einer Schwachstelle in der Unterstuezung fuer das MSN-Messenger
  Protokoll im Pidgin Instant-Messenger kann ein entfernter Angreifer
  einen Absturz der Anwendung ausloesen. Grund hierfuer ist ein Fehler
  aller enthaltenen Parametern in SLP-Paketen.

CVE-2010-0420 - Fehlerhafte Ueberpruefung von Benutzerdaten ermoeglicht
Denial of Service Angriffe

  Pidgin ueberprueft Benutzernamen nicht darauf, ob sich nicht zulaessige
  Zeichen darin befinden. Betritt ein Benutzer, dessen Benutzername ein
  'Linebreak'-Zeichen enthaelt, einen Multi-User-Chat, so wird der
  Benutzer unter zwei Namen im Chat angemeldet. Dies hat zur Folge, dass
  der IM-Client 'Finch', eine Konsolen-Anwendung, durch den nicht
  zulaessigen Namen zum Absturz gebracht werden (Denial of Service).

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket pidgin

  Fedora 11
  Fedora 12
  Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  http://lists.fedoraproject.org/pipermail/package-announce/2010-February/035332.html
  http://lists.fedoraproject.org/pipermail/package-announce/2010-February/035409.html
  http://lists.fedoraproject.org/pipermail/package-announce/2010-February/035347.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
        Detlev O. Matthies

- --

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone  +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.:  DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen               https://www.cert.dfn.de/autowarn

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-1934
2010-02-19 23:54:06
- --------------------------------------------------------------------------------

Name        : pidgin
Product     : Fedora 13
Version     : 2.6.6
Release     : 1.fc13
URL         : http://pidgin.im/
Summary     : A Gtk+ based multiprotocol instant messaging client
Description :
Pidgin allows you to talk to anyone using a variety of messaging
protocols including AIM, MSN, Yahoo!, Jabber, Bonjour, Gadu-Gadu,
ICQ, IRC, Novell Groupwise, QQ, Lotus Sametime, SILC, Simple and
Zephyr.  These protocols are implemented using a modular, easy to
use design.  To use a protocol, just add an account using the
account editor.

Pidgin supports many common features of other clients, as well as many
unique features, such as perl scripting, TCL scripting and C plugins.

Pidgin is not affiliated with or endorsed by America Online, Inc.,
Microsoft Corporation, Yahoo! Inc., or ICQ Inc.

- --------------------------------------------------------------------------------
Update Information:

2.6.6 with security and numerous minor bug fixes  CVE-2010-0277 CVE-2010-0420
CVE-2010-0423
- --------------------------------------------------------------------------------
References:

  [ 1 ] Bug #554335 - CVE-2010-0277 pidgin MSN protocol plugin memory corruption
        https://bugzilla.redhat.com/show_bug.cgi?id=554335
  [ 2 ] Bug #565786 - CVE-2010-0420 pidgin: Finch XMPP MUC Crash
        https://bugzilla.redhat.com/show_bug.cgi?id=565786
  [ 3 ] Bug #565792 - CVE-2010-0423 pidgin: Smiley Denial of Service
        https://bugzilla.redhat.com/show_bug.cgi?id=565792
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update pidgin' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLgpG7WmhIvjFb90URAtp7AJ9rYDwMX+9qOzgO9tzNvgEGNsdN2QCeManP
M8Y/Geod6xyqWeY7i8p5KYk=
=4maJ
-----END PGP SIGNATURE-----