Risque
Déni de service.
Systèmes affectés
Versions antérieures à Gaim 1.2.1.
Résumé
De multiples vulnérabilités découvertes dans Gaim permettent à un utilisateur mal intentionné d'effectuer un déni de service à distance.
Description
gaim est un client de messagerie instantanée multi-protocoles (ICQ, MSN Messenger, Yahoo! Messenger, IRC, Jabber, AIM, ...).
- une vulnérabilité découverte dans la fontion gaim_markup_strip_html() permet à un individu mal intentionné de provoquer un déni de service au moyen d'une chaîne contenant du code HTML astucieusement formé (CAN-2005-0965).
- une vulnérabilité dans le module de gestion du protocole IRC permet à un utilisateur mal intentionné de forcer à distance la fermeture de l'application (CAN-2005-0966) ;
- Une vulnérabilité découverte dans gaim permet à un utilisateur Jabber mal intentionné d'effectuer un déni de service sur le client gaim, au moyen d'une requête de transfert de fichier malicieusement construite (CAN-2005-0967) ;
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Sources de gaim :
http://gaim.sourceforge.net
- Mise à jour Gaim 1.2.1 :
http://gaim.sourceforge.net/downloads.php
- Bulletin de sécurité gaim #13 du 02 avril 2005 :
http://gaim.sourceforge.net/security/index.php?id=13
- Bulletin de sécurité gaim #14 du 02 avril 2005 :
http://gaim.sourceforge.net/security/index.php?id=14
- Bulletin de sécurité gaim #15 du 04 avril 2005 :
http://gaim.sourceforge.net/security/index.php?id=15
- Bulletin de sécurité Gentoo GLSA-200504-05 / Gaim du 06 avril 2005 :
http://www.gentoo.org/security/en/glsa/glsa-200504-05.xml
- Bulletin de sécurité Mandrake MDKSA-2005:071 du 13 avril 2005 :
http://www.mandriva.com/security/advisories?name=MDKSA-2005:071
- Bulletin de sécurité RedHat RHSA-2005:365:06 du 12 avril 2005 :
http://rhn.redhat.com/errata/RHSA-2005-365.html
- Mise à jour de sécurité pour Fedora Core 2 / Gaim du 06 avril 2005 :
http://download.fedora.redhat.com/pub/fedora/linux/core/updates/2/
- Mise à jour de sécurité pour Fedora Core 3 / Gaim du 06 avril 2005 :
http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
- Bulletin de sécurité FreeBSD pour Gaim du 10 avril 2004 :
http://www.vuxml.org/freebsd/pkg-gaim.html
- Référence CVE CAN-2005-0965 :
https://www.cve.org/CVERecord?id=CAN-2005-0965
- Référence CVE CAN-2005-0966 :
https://www.cve.org/CVERecord?id=CAN-2005-0966
- Référence CVE CAN-2005-0967 :
https://www.cve.org/CVERecord?id=CAN-2005-0967