blob: 78857b0f14d0f39ef68e70afd127b4d9f9e24472 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
|
<define-tag description>utilstrækkelig fornuftighedskontrol af inddata</define-tag>
<define-tag moreinfo>
<p>Federico Muttis opdagede at libpurple, der er et delt bibliotek, som leverer
understøttelse af forskellige chatnetværk til chatklienten pidgin, var sårbart
over for et heap-baseret bufferoverløb. Problemet findes, på grund af en
ufuldstændig rettelse af
<a href="https://security-tracker.debian.org/tracker/CVE-2008-2927">CVE-2008-2927</a> og
<a href="https://security-tracker.debian.org/tracker/CVE-2009-1376">CVE-2009-1376</a>.
En angriber kunne udnytte dette ved at sende to på hinanden følgende SLP-pakker
til et offer via MSN.</p>
<p>Den første pakke blev anvendt til at oprette et SLP-meddelelsesobjekt med et
offset på nul, og den anden pakke indeholdt et fabrikeret offset, der ramte den
sårbare kode oprindeligt rettet i
<a href="https://security-tracker.debian.org/tracker/CVE-2008-2927">CVE-2008-2927</a> og
<a href="https://security-tracker.debian.org/tracker/CVE-2009-1376">CVE-2009-1376</a>,
og gjorde det muligt for en angriber at udføre vilkårlig kode.</p>
<p>Bemærk: Brugere med indstillingen "Allow only the users below" er ikke
sårbare over for angrebet. Hvis du ikke kan installere de nedenfor nævnte
opdateringer, vil det måske være en god idé at foretage denne opsætningsændring
via Tools->Privacy.</p>
<p>I den stabile distribution (lenny), er dette problem rettet i
version 2.4.3-4lenny3.</p>
<p>I distributionen testing (squeeze), vil dette problem snart blive rettet.</p>
<p>I den ustabile distribution (sid), er dette problem rettet i
version 2.5.9-1.</p>
<p>Vi anbefaler at du opgraderer dine pidgin-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2009/dsa-1870.data"
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
|
