ГлавнаяБаза уязвимостей БДУ → BDU:2025-03801
6.2средняя

BDU:2025-03801 (CVE-2022-26491)

Уязвимость системы мгновенного обмена сообщениями Pidgin, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю получить контроль над соединением XMPP, учетные данные пользователя и содержимое сообщений
Опубликовано: 2025-04-07
Описание

Уязвимость системы мгновенного обмена сообщениями Pidgin связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить контроль над соединением XMPP, учетные данные пользователя и содержимое сообщений

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Red Hat Enterprise Linux (8)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)openSUSE TumbleweedOpenSUSE Leap (15.3)Debian GNU/Linux (11)Debian GNU/Linux (12)Fedora (35)РЕД ОС (7.3)OpenSUSE Leap (15.4)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Desktop (15 SP3)Suse Linux Enterprise Server (15 SP2)Альт 8 СПFedora (36)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP2)Suse Linux Enterprise Desktop (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для Pidgin:
https://pidgin.im/about/security/advisories/cve-2022-26491/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-26491

Для РЕД ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Альт СП:
https://cve.basealt.ru/tag/cve-2021-30471.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-26491.html

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-26491

Для РОСА Кобальт:
https://abf.rosa.ru/advisories/ROSA-SA-2023-2186

Для программных продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OX6GWZS354D2YSWNBRRT4TAU4446FOOG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/56CQ66SQFAFDB2JPMOCRC2IJISJ4Y5FX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JEV4HZTNVRNMQFIC524HPFTC4KPPIASN/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл6.2 — средняя опасность
Источники и патчи
https://pidgin.im/about/security/advisories/cve-2022-26491/https://developer.pidgin.im/wiki/FullChangeLoghttps://github.com/xsf/xeps/pull/1158https://keep.imfreedom.org/pidgin/pidgin/rev/13cdb7956bdchttps://mail.jabber.org/pipermail/standards/2022-February/038759.htmlhttps://safe-surf.ru/specialists/base-vulnerabilities/681144/https://access.redhat.com/security/cve/CVE-2022-26491http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена