Pidgin libpurple库不安全连接漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1181863 漏洞类型 加密问题
发布时间 2009-08-19 更新时间 2010-01-18
CVE编号 CVE-2009-3026 CNNVD-ID CNNVD-200908-501
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/36368
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200908-501
|漏洞详情
Pidgin是一款跨平台的实时通信客户端,它支持多个常用的实时通信协议,用户可用同一个软件登录不同的实时通信服务。在连接到不遵循XMPP规范的老式Jabber服务器时Pidgin所使用的libpurple库中的protocols/jabber/auth.c文件没有强制"requireTLS/SSL"偏好选项,TLS/SSL连接已经失败但libpurple库仍会未经加密便连接到服务器。远程攻击者可以从不安全的连接中嗅探会话。
|受影响的产品
Ubuntu Ubuntu Linux 9.10 sparc Ubuntu Ubuntu Linux 9.10 powerpc Ubuntu Ubuntu Linux 9.10 lpia Ubuntu Ubuntu Linux 9.10 i386 Ubuntu Ubuntu Linux 9.10 amd64 Ubuntu Ubuntu L
|参考资料

来源:developer.pidgin.im
链接:http://developer.pidgin.im/viewmtn/revision/diff/312e056d702d29379ea61aea9d27765f127bc888/with/55897c4ce0787edc1e7721b7f4a9b5cbc8357279
来源:XF
名称:pidgin-libpurple-weak-security(53000)
链接:http://xforce.iss.net/xforce/xfdb/53000
来源:MLIST
名称:[oss-security]20090824CVEidrequest:pidgin
链接:http://www.openwall.com/lists/oss-security/2009/08/24/2
来源:developer.pidgin.im
链接:http://developer.pidgin.im/ticket/8131
来源:bugs.debian.org
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=542891