Pidgin purple_base64_decode()函数空指针引用拒绝服务漏洞

发表评论 (0) 查看评论

受影响系统:

Pidgin Pidgin < 2.7.4

不受影响系统:

Pidgin Pidgin 2.7.4

描述:
Pidgin是支持多种协议的即时通讯客户端。

Pidgin所使用的libpurple库没有充分地验证Yahoo!、MSN、MySpaceIM和XMPP协议插件及NTLM认证支持中所使用的purple_base64_decode()函数的返回值,远程攻击者可以通过base64编码的消息触发空指针引用,导致拒绝服务的情况。

<*来源:Daniel Atallah
  
  链接:http://secunia.com/advisories/41893/
        http://www.pidgin.im/news/security/?id=48
        https://www.redhat.com/support/errata/RHSA-2010-0788.html
*>

建议:

厂商补丁:

RedHat
——
RedHat已经为此发布了一个安全公告(RHSA-2010:0788-01)以及相应补丁:
RHSA-2010:0788-01:Moderate: pidgin security update
链接:https://www.redhat.com/support/errata/RHSA-2010-0788.html

Pidgin
——
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://developer.pidgin.im/viewmtn/revision/info/b01c6a1f7fe4d86b83f5f10917b3cb713989cfcc

发表评论?

0 条评论。

发表评论