Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03801

Опубликовано: 28 апр. 2022
Источник: fstec
CVSS3: 6.4
CVSS2: 6.2
EPSS Низкий

Описание

Уязвимость системы мгновенного обмена сообщениями Pidgin связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить контроль над соединением XMPP, учетные данные пользователя и содержимое сообщений

Вендор

Сообщество свободного программного обеспечения
Novell Inc.
Red Hat Inc.
Fedora Project
ООО «Ред Софт»
АО «ИВК»
АО «НТЦ ИТ РОСА»
Марк Спенсер, Шон Иган и др.

Наименование ПО

Debian GNU/Linux
Suse Linux Enterprise Desktop
SUSE Linux Enterprise Server for SAP Applications
OpenSUSE Leap
Suse Linux Enterprise Server
Red Hat Enterprise Linux
openSUSE Tumbleweed
Fedora
РЕД ОС
Альт 8 СП
РОСА ХРОМ
АЛЬТ СП 10
Pidgin

Версия ПО

9 (Debian GNU/Linux)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15.5 (OpenSUSE Leap)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
8 (Red Hat Enterprise Linux)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
- (openSUSE Tumbleweed)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
35 (Fedora)
7.3 (РЕД ОС)
15.4 (OpenSUSE Leap)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (Suse Linux Enterprise Server)
- (Альт 8 СП)
36 (Fedora)
15 SP4 (Suse Linux Enterprise Server)
15 SP2 (Suse Linux Enterprise Desktop)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP5 (Suse Linux Enterprise Server)
15 SP5 (Suse Linux Enterprise Desktop)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5-LTSS (Suse Linux Enterprise Server)
12 SP5 LTSS Extended Security (Suse Linux Enterprise Server)
до 2.14.9 (Pidgin)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. Suse Linux Enterprise Desktop 12 SP3
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. OpenSUSE Leap 15.5
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Novell Inc. openSUSE Tumbleweed -
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. Suse Linux Enterprise Server 15 SP2
АО «ИВК» Альт 8 СП -
Fedora Project Fedora 36
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP2
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP5
Novell Inc. Suse Linux Enterprise Desktop 15 SP5
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. Suse Linux Enterprise Server 12 SP5-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP5 LTSS Extended Security

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,4)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Pidgin:
https://pidgin.im/about/security/advisories/cve-2022-26491/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-26491
Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Альт СП:
https://cve.basealt.ru/tag/cve-2021-30471.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-26491.html
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-26491
Для РОСА Кобальт:
https://abf.rosa.ru/advisories/ROSA-SA-2023-2186
Для программных продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OX6GWZS354D2YSWNBRRT4TAU4446FOOG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/56CQ66SQFAFDB2JPMOCRC2IJISJ4Y5FX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JEV4HZTNVRNMQFIC524HPFTC4KPPIASN/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 67%
0.00563
Низкий

6.4 Medium

CVSS3

6.2 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-26491

CVSS3: 5.9
ubuntu
больше 3 лет назад

An issue was discovered in Pidgin before 2.14.9. A remote attacker who can spoof DNS responses can redirect a client connection to a malicious server. The client will perform TLS certificate verification of the malicious domain name instead of the original XMPP service domain, allowing the attacker to take over control over the XMPP connection and to obtain user credentials and all communication content. This is similar to CVE-2022-24968.

redhat логотип

CVE-2022-26491

CVSS3: 6.4
redhat
больше 3 лет назад

An issue was discovered in Pidgin before 2.14.9. A remote attacker who can spoof DNS responses can redirect a client connection to a malicious server. The client will perform TLS certificate verification of the malicious domain name instead of the original XMPP service domain, allowing the attacker to take over control over the XMPP connection and to obtain user credentials and all communication content. This is similar to CVE-2022-24968.

nvd логотип

CVE-2022-26491

CVSS3: 5.9
nvd
больше 3 лет назад

An issue was discovered in Pidgin before 2.14.9. A remote attacker who can spoof DNS responses can redirect a client connection to a malicious server. The client will perform TLS certificate verification of the malicious domain name instead of the original XMPP service domain, allowing the attacker to take over control over the XMPP connection and to obtain user credentials and all communication content. This is similar to CVE-2022-24968.

debian логотип

CVE-2022-26491

CVSS3: 5.9
debian
больше 3 лет назад

An issue was discovered in Pidgin before 2.14.9. A remote attacker who ...

suse-cvrf логотип

SUSE-SU-2022:1693-1

suse-cvrf
больше 3 лет назад

Security update for pidgin

EPSS

Процентиль: 67%
0.00563
Низкий

6.4 Medium

CVSS3

6.2 Medium

CVSS2