Prilikom upotrebe programskog paketa Pidgin uočen je sigurnosni nedostatak. Riječ je o alatu namijenjenom razmjeni poruka u stvarnom vremenu. Navedeni propust javlja se kao posljedica pogreške u funkciji "gdk_pixbuf__gif_image_load()". Može biti iskorišten za uzrokovanje nepravilnog korištenja memorije podmetanjem posebno oblikovane GIF slike, ali i za izvođenje DoS (eng. Denial of Service) napada. Svim se korisnicima preporuča korištenje nove, ispravljene inačice.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-06-034
Naslov: Otklonjena ranjivost programskog paketa Pidgin
Datum: 2011-06-29
OS: Windows, Linux/Unix
Programski paket: Pidgin
Tip sigurnosnog problema: DoS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Pidgin otkriven je sigurnosni propust. 

Pidgin je besplatan alat za razmjenu poruka u stvarnom vremenu (eng. instant messaging). Vrlo je jednostavan za koristenje. 

Omogucuje istovremeno dopisivanje, vodjenje glasovne konverzacije ili video razgovore preko razlicitih mreza. Kompatibilan je sa: AIM, ICQ, Google Talk, Jabber/XMPP, MSN Messenger, Yahoo!, Bonjour, Gadu-Gadu, IRC, Novell GroupWise Messenger, QQ, Lotus Sametime, SILC, SIMPLE, MySpaceIM i Zephyr. 

Vise informacija moguce je pronaci na sljedecoj web adresi:

http://www.pidgin.im/ 

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Uocena sigurnosna ranjivost u radu programskog paketa pidgin napadacima omogucuje 
izvodjenje napada uskracivanja usluga (eng. Denial of Service).

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na ispravljenu inacicu 2.9.0.  

-------------------------------------------------------------------------------

[4]  Analiza

Navedeni nedostatak javlja se zbog pogresaka u funkciji "gdk_pixbuf__gif_image_load()" 
i moze biti iskoristen za uzrokovanje nepravilnog koristenja memorije podmetanjem 
posebno oblikovane GIF slike.

Ranjivost je potvrdjena u inacicama prije 2.9.0.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je Mark Doliner.

Tekst izvorne preporuke nalazi se na sljedecoj web adresi:

http://www.pidgin.im/news/security/?id=52

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________