漏洞信息详情
Pidgin Libpurple库多个拒绝服务漏洞
- CNNVD编号:CNNVD-200909-094
- 危害等级: 中危
- CVE编号: CVE-2009-2703
- 漏洞类型: 缓冲区溢出
- 发布时间: 2009-09-08
- 威胁类型: 远程
- 更新时间: 2009-09-09
- 厂 商: pidgin
- 漏洞来源: Marcus Lundblad
漏洞简介
Pidgin是一款跨平台的实时通信客户端,它支持多个常用的实时通信协议,用户可用同一个软件登录不同的实时通信服务。 远程攻击者可以通过向Pidgin的libpurple库提交各种恶意会话消息导致拒绝服务。 1) XMPP协议实现中的错误可能在将恶意的表情符号处理为出错响应时导致崩溃。 2) MSN协议实现中转换硬写入消息的编码时存在错误,如果错误的使用了未初始化的变量就可能导致崩溃。 3) MSN协议插件从入站的SLP invite消息中获得某些字段,如果其中缺少某些字段协议插件就会试图引用空指针,导致崩溃。 4) IRC协议处理中存在空指针引用,从恶意的IRC服务器接收到特制的IRC TOPIC消息就会导致拒绝服务。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: http://developer.pidgin.im/viewmtn/revision/info/fd5955618eddcd84d522b30ff11102f9601f38c8 http://developer.pidgin.im/viewmtn/revision/info/567e16cbc46168f52482e5ec27626c48e7a5ba95 http://developer.pidgin.im/viewmtn/revision/info/b4a95ea62b81a06ffc1993912471c511b786efdd http://developer.pidgin.im/viewmtn/revision/info/ad2c6ee53ec9122b25aeb1f918db53be69bdeac3
参考网址
来源: www.pidgin.im 链接:http://www.pidgin.im/news/security/index.php?id=40 来源: developer.pidgin.im 链接:http://developer.pidgin.im/viewmtn/revision/info/ad2c6ee53ec9122b25aeb1f918db53be69bdeac3 来源: BID 名称: 36277 链接:http://www.securityfocus.com/bid/36277 来源: SECUNIA 名称: 36601 链接:http://secunia.com/advisories/36601
受影响实体
- Pidgin Libpurple
补丁
暂无
评论