发布日期:2010-09-12
更新日期:2010-10-12受影响系统:
pidgin-knotify pidgin-knotify 0.2.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 43206
CVE ID: CVE-2010-3088pidgin-knotify是用于在KDE 4环境中使用的Pidgin事件通知插件。pidgin-knotify插件的pidgin-knotify.c文件下的notify函数缺少输入过滤,远程攻击者可以通过在消息中包含恶意shell元字符导致注入并执行任意命令。以下是src/pidgin-knotify.c文件71-74行中的有漏洞代码段:command = g_strdup_printf("kdialog --title "%s" --passivepopup "%s" %d", title,
body, timeout);
[...]
result = system(command);<*来源:Matthias Petschick
链接:http://secunia.com/advisories/41382/
https://bugs.gentoo.org/show_bug.cgi?format=multiple&id=336916
*>建议:
--------------------------------------------------------------------------------
厂商补丁:pidgin-knotify
--------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://code.google.com/p/pidgin-knotify/issues/detail?id=1PostgreSQL PL/Perl和PL/Tcl实现权限提升漏洞SyncBreeze Server登录请求远程栈溢出漏洞相关资讯 pidgin
- Pidgin 2.10.12 发布下载,跨平台 (01月03日)
- Pidgin 拒绝服务漏洞(CVE-2014- (10/29/2014 18:09:01)
- Pidgin 2.10.10 发布了,跨平台即 (10/23/2014 19:42:10)
| - Pidgin 拒绝服务漏洞(CVE-2014- (10/29/2014 18:09:29)
- Pidgin XMPP协议"stringprep()"函 (10/29/2014 18:04:41)
- Pidgin "process_chunked_data()" (02/13/2014 16:23:14)
|
本文评论 查看全部评论 (3)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
| |
第 3 楼 q455923354 发表于 2010/10/22 13:30:01Pidgin pidgin-kn 回复 支持 (0) 反对 (0)第 2 楼 q455923354 发表于 2010/10/22 13:29:49Pidgin pidgin-kn 回复 支持 (0
易网时代-编程资源站