漏洞信息详情

Pidgin libpurple directconn.c文件输入验证漏洞

• CNNVD编号：CNNVD-201101-021
• 危害等级： 中危
  
• CVE编号： CVE-2010-4528
• 漏洞类型： 输入验证
• 发布时间： 2011-01-10
• 威胁类型： 远程
• 更新时间： 2011-01-10
• 厂        商： pidgin
• 漏洞来源：

漏洞简介

Pidgin是一款跨平台的实时通信客户端，它支持多个常用的实时通信协议，用户可用同一个软件登录不同的实时通信服务。

Pidgin 2.7.9之前版本中的libpurple 2.7.6至2.7.8版本中的MSN协议插件中的directconn.c文件中存在输入验证漏洞。远程认证用户可以借助DirectConnect(又名direct connection)会话中的超短p2pv2包导致拒绝服务(空指针解引用以及应用程序崩溃)。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://developer.pidgin.im/viewmtn/revision/diff/e76f4ad4ef2f10588195a0eedc7a08f82062f79c/with/aaa07bde3c51d3684391ae6ed86b6dbaeab5d031/libpurple/protocols/msn/directconn.c

参考网址

受影响实体

• Pidgin Pidgin:2.7.0  
• Pidgin Pidgin:2.7.1  
• Pidgin Pidgin:2.7.2  
• Pidgin Pidgin:2.7.3  
• Pidgin Pidgin:2.7.4  

补丁

• directconn
• pidgin-2.7.9
• pidgin-2.7.9-i486-1_slack12.1
• pidgin-2.7.9-x86_64-1
• pidgin