CERT-FI haavoittuvuustiedote 079/2009

21.8.2009

Haavoittuvuus Libpurple-pohjaisissa pikaviestinohjelmissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Libpurple on useiden pikaviestinohjelmien kehityksessä käytetty runko. Libpurplesta on löytynyt haavoittuvuus minkä avulla hyökkääjän on mahdollista suorittaa komentojaan kohdejärjestelmässä. Libpurplea käytetään mm. Pidgin, Gaim ja Adium -pikaviestinohjelmissa.

Haavoittuvuutta voidaan hyväksikäyttää lähettämällä tietyllä tavalla muotoiltu MSNSLP-paketti vastaanottajalle MSN-palvelimen läpi. Viestin vastaanotto voi aiheuttaa hyökkääjän komentojen suorittamisen kohdejärjestelmässä. Hankalaksi haavoittuvuuden tekee se, että oletusasetuksilla esimerkiksi pidginissä vastaanotetaan myös kontaktilistan ulkopuolisilta MSN-viestit mikäli MSN-tili on pidginiin asetettu.

HAAVOITTUVAT OHJELMISTOT:

• Gaim (nykyinen Pidgin) versio 0.79 ja aikaisemmat
  
• Pidgin 2.5.8 ja aikaisemmat
• Adium 1.3.5 ja aikaisemmat

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä pikaviestinohjelma uuteen versioon.

Ongelmaa voi rajoittaa vaihtamalla pikaviestimen MSN-tilien yksityisyysasetuksista päälle asetuksen, jonka avulla vain yhteystietolistalla olevat henkilöt voivat lähettää viestejä.

LISÄTIETOA:

• http://www.coresecurity.com/content/libpurple-arbitrary-write
• http://pidgin.im/news/security/?id=34
• http://adium.im
• http://developer.pidgin.im/wiki/WhatIsLibpurple
• CVE-2008-2927, CVE-2009-1376
  

PÄIVITYSHISTORIA:

21.8.2009, kello 7.30: Julkaistu

Sivua päivitetty 21.08.2009

Tulostusversio