GLSA 200401-04: GAIM 0.75 Remote overflows
| Опасность: | средняя |
| Заголовок: | GAIM 0.75 Remote overflows |
| Дата: | 26.01.2004 |
| Ошибки: | |
| ID: | 200401-04 |
Сводка
Various overflows in the handling of AIM DirectIM packets was revealed in GAIM that could lead to a remote compromise of the IM client.Назначение
Gaim is a multi-platform and multi-protocol instant messaging client. It is compatible with AIM , ICQ, MSN Messenger, Yahoo, IRC, Jabber, Gadu-Gadu, and the Zephyr networks.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| net-im/gaim | < 0.75-r7 | >= 0.75-r7 | All supported architectures |
Описание
Yahoo changed the authentication methods to their IM servers, rendering GAIM useless. The GAIM team released a rushed release solving this issue, however, at the same time a code audit revealed 12 new vulnerabilities.
Воздействие
Due to the nature of instant messaging many of these bugs require man-in-the-middle attacks between the client and the server. But the underlying protocols are easy to implement and attacking ordinary TCP sessions is a fairly simple task. As a result, all users are advised to upgrade their GAIM installation.
- Users of GAIM 0.74 or below are affected by 7 of the vulnerabilities and are encouraged to upgrade.
- Users of GAIM 0.75 are affected by 11 of the vulnerabilities and are encouraged to upgrade to the patched version of GAIM offered by Gentoo.
- Users of GAIM 0.75-r6 are only affected by 4 of the vulnerabilities, but are still urged to upgrade to maintain security.
Обход
There is no immediate workaround; a software upgrade is required.
Решение
All users are recommended to upgrade GAIM to 0.75-r7.
$> emerge sync
$> emerge -pv ">=net-im/gaim-0.75-r7"
$> emerge ">=net-im/gaim-0.75-r7"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.