Kritikus sebezhetőség a Pidgin-ben

 ( trey | 2009. augusztus 19., szerda - 14:03 )

Kritikus biztonsági sebezhetőséget tartalmaz a Pidgin névre hallgató, népszerű azonnali üzenetküldő alkalmazás. A bug a Pidgin által használt libpurple library-ban található. A hiba kihasználása esetén a rosszindulatú támadó kódot injektálhat és hajthat végre az áldozat számítógépén. A hiba sikeres kihasználásához nincs szükség interaktivitásra az áldozat részéről és a sikeres támadás véghezvitelének nem feltétele, hogy a támadó szerepeljen az áldozat "buddy" listáján.

A Pidgin fejlesztők által kiadott jelentésből kiderül, hogy a hiba javításra került a Pidgin/libpurple 2.5.9-ben, de a hibát felfedező CoreSecurity szerint az első verzió, amelyet nem érint a sebezhetőség, a 2.6.0-s. A fejlesztők tegnap kiadták gyors egymásutánjában a 2.5.9-es, 2.6.0-s és 2.6.1-es verziójat. A legbiztosabb választás, ha a felhasználók a legfrissebb verziót telepítik.

A hiba a Pidgin mellett az Adium-ot is érinti.

A changelog itt olvasható.

Referenciák:
Critical vulnerability in Pidgin IM
Libpurple msn_slplink_process_msg() Arbitrary Write Vulnerability
MSN overflow parsing SLP messages

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Az Adium 1.4b8-ban http://adium.im/beta/ már libpurple 2.6.0 van:
http://hg.adium.im/adium/rev/75fb8ee8f2e6

szerencsére van pidgin napi build ppa, szinte minden nap frissül :)

Koszonom, igy rendben.

Pidgin 2.6.2devel
(libpurple 2.6.2devel)

Már csak a win binary kellene...

a release engineering sose volt a pidginesek erőssége


szerintem.

Pedig most szokatlanul bőbeszédűek voltak a release kapcsán:
http://theflamingbanker.blogspot.com/2009/08/pidgin-260-its-about-time.html

ez jó, de ettől még van egy ismert kritikus sebezhetőség a windows-os kliensemben

ahogy látom, legalább yahoo-hoz van már p2p fájlküldés. még talán 1-2 év, és lesz msn-hez is :)


szerintem.

Nem ertem, ramegyek a linkre, ami a cikkben van, felrakom es 2.5.8-at teszi fel...

az a "legfrisebb" verzió, mert nincs windows build még.

Ertem. Windowsom nekem sincs, amikor kiirja, akkor ujabb verziot ir ki a letoltesnel.

ubuntu 9.0x

de egyelőre Voice&Video nélkül

Debian Lenny alatt ma jól lefrissűlt az x86-os rendszerem, viszont amd64 alatt törött lett a pidgin csomag. Másnál is?

Remélem mielőbb javítják és jön jó frissítés.

senkinél semmi hiba 64 biten Lenny alatt?

köszi.

Végre megoldódott, ma már telepűltek a pidgin és libpurple0 frissítések.

Ubi is frissült ma.

Tévedtem, úgy látszik. Ma jött frissítés az adium beta-hoz. Akinek eddig nem sikerült a konkurrens trójait felrakni, most megint várhat. :)