2016-1011: Pidgin: Mehrere Schwachstellen erlauben u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-06-22 19:41): Neues Advisory
Version 2 (2016-07-13 11:20): Canonical stellt für Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 15.10 Sicherheitsupdates für Pidgin bereit. In dem referenzierten Sicherheitsupdate werden die Schwachstellen CVE-2016-2379 und PIDGIN-2016-06-21-ID-091 nicht genannt.
Version 3 (2016-07-18 11:53): Debian stellt für die stabile Distribution Jessie (8.5) und die testing Distribution Stretch (9.0) Sicherheitsupdates bereit. Die beiden Schwachstellen CVE-2016-2379 und PIDGIN-2016-06-21-ID-091 werden nicht aufgeführt.

Betroffene Software

Office

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Pidgin, in den meisten Fällen in der MXIT-Komponente, ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen, die Durchführung von Denial-of-Service (DoS)-Angriffen sowie das Umgehen von Sicherheitsvorkehrungen. Sollte der Pidgin ausführende Benutzer als Administrator angemeldet sein, ist die vollständige Übernahme des Systems möglich.

Mit der Pidgin Version 2.11.0 als Sicherheitsupdate werden alle genannten Schwachstellen adressiert.

Schwachstellen:

CVE-2016-2365

Schwachstelle in Pidgin ermöglicht Denial-of-Service-Angriff

CVE-2016-2366

Schwachstelle in Pidgin ermöglicht Denial-of-Service-Angriff

CVE-2016-2367

Schwachstelle in Pidgin ermöglicht Ausspähen von Informationen

CVE-2016-2368

Schwachstellen in Pidgin ermöglichen Ausführen beliebigen Programmcodes

CVE-2016-2369

Schwachstelle in Pidgin ermöglicht Denial-of-Service-Angriff