Pidgin Pidgin 2.0描述:
BUGTRAQ ID: 29985
Pidgin是支持多种协议的即时通讯客户端。
Pidgin的XML解析器在解析畸形XML文件时存在内存泄露漏洞。不可信任的XML文档是通过UPnP和Jabber协议交换的,而UPnP实现没有限制HTTP下载的大小。由于可通过包含有任意URL的UDP报文触发下载,因此攻击者可以导致Pidgin从网站下载任意大小的文档,耗费带宽资源。
仅在有限的环境中才会出现上述两个漏洞: XML内存泄露漏洞要求用户连接到恶意的Jabber服务器,或连接到转发过程中无法检查畸形XML的Jabber服务器;仅在Pidgin启动时很小的时间窗口才可以利用UPnP漏洞。
<*来源:Christian Grothoff
链接:http://crisp.cs.du.edu/?q=ca2007-1
*>
建议:
厂商补丁:
Pidgin
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://crisp.cs.du.edu/crisp-files/pidgin-2.0.0-upnp-limit-download.di_ff
http://crisp.cs.du.edu/crisp-files/pidgin-2.0.0-xmlnode-pool-leak.diff