Pidgin

Что нового в версии:

• libpurple:
• Исправить недостающую память, прочитанную в purple_markup_unescape_entity. CVE-2017-2640
• Исправить использование неинициализированной памяти, если вы используете версии glib
, не поддерживающие отладку
• Обновлен AIM dev и dist ID новым, которые были назначены AOL.
• Проверка сертификатов TLS теперь использует контрольные суммы SHA-256.
• Исправлено внешнее auth для SASL для Freenode.
• Удален плагин протокола MSN. Он был непригодным и неактивным в течение некоторого времени. MSNP18 был прекращен, и для плагина протокола потребуется большое обновление, чтобы снова начать работу. См. Http://ismndeadyet.com/. Третий сторонний плагин Pidgin SkypeWeb, однако, должен обеспечить достаточную функциональность в качестве замены, если люди все еще хотят использовать MSN: https://github.com/EionRobb/skype4pidgin/tree/master / skypeweb
• Удален плагин протокола Mxit. Служба была закрыта в конце сентября 2016 года. См. Https://pidgin.im/pipermail/devel/2016-September/024078.htm
• Удален плагин протокола MySpaceIM. Служба давно не работает. (# 15356)

• Удалите Yahoo! плагин протокола. Yahoo полностью переработала свой протокол, поэтому эта версия больше не действует с 5 августа 2016 года. Для поддержки нового протокола был написан новый плагин протокола. Это можно найти здесь. Это также удаляет поддержку Yahoo! Япония. Согласно http://messenger.yahoo.co.jp/ услуга, закончившаяся 26 марта 2014 года.
• Удалите опцию Facebook (XMPP). Согласно https://developers.facebook.com/docs/chat, служба XMPP Chat API завершилась 30 апреля 2015 года. Новый плагин протокола был написан с использованием другого метода для поддержки Facebook. Его можно найти на странице https://github.com/dequis/purple-facebook/wiki
• Исправлены ошибки проверки сертификата gnutls, которые в основном затрагивали Google (Dequis)
• Общие:
• Заменили экземпляры d.pidgin.im с помощью developer.pidgin.im и обновили URL-адреса для использования https. (# 17036)
• IRC:
• Исправлена ​​проблема с отключением сообщений на 500 символов. Большие сообщения теперь разбиваются на части и отправляются один за другим. (# 4753)

Что нового в версии 2.11.0:

• Общие:
• 2.10.12 был случайно выпущен с новыми дополнениями к API и должен был быть выпущен как 2.11.0. К сожалению, мы не догадались об ошибке до тех пор, пока 2.10.12 не была выпущена, но мы ее исправляем. См. ChangeLog.API для получения дополнительной информации.
• Включите комплект сертификатов Mozilla. Это исправляет подключение к серверам с сертификатами от Let's Encrypt. Удалите все 1024-разрядные ЦС
• libpurple:
• media: исправить проблему, когда ximagesink отображает только угловое вырезание более крупного видео в веб-камере (Jakub Adam).
• mediamanager: обновить повреждение окон вывода, чтобы он отражал последние изменения в структуре конвейера медиа (Jakub Adam)
• Портированные команды Instantbird для libpurple (Dequis)
• Pidgin:
• Исправлено # 14962
• Исправлено выравнивание входящих сообщений справа налево в протоколах, которые не поддерживают богатый текст.
• Исправить потенциальный сбой при выходе из pidgin
• Цель:
• Добавить поддержку новой аутентификации на основе кебероса AIM 8.x
• Изменения в Windows:
• Используйте getaddrinfo для DNS для включения IPv6 (# 1075)
• Обновления зависимостей: NSS 3.24 и NSPR 4.12.
• Bonjour
• Исправлено построение на Mac OSX (Patrick Cloke) (# 16883)
• ICQ:
• Остановить усечение паролей до 8 символов, таких как старые клиенты ICQ. (# 16692). Если вам это действительно нужно, обрезайте свой пароль вручную, несколько раз нажав клавишу Backspace.
• IRC:
• Base64-декодировать сообщения SASL перед переходом на libsasl (# 16268)
• MXit:
• Исправлено переполнение буфера. Открыт Ив Юнан из Cisco Talos. (TALOS-CAN-0120)
• Исправлено чтение удаленных заглавных букв. Открыт Ив Юнан из Cisco Talos. (TALOS-CAN-0140)
• Исправлено дистанционное чтение вне диапазона. Открыт Ив Юнан из Cisco Talos. (TALOS-CAN-0138, TALOS-CAN-0135).
• Исправлено недопустимое чтение. Открыт Ив Юнан из Cisco Talos (TALOS-CAN-0118).
• Исправлена ​​уязвимость удаленного переполнения буфера. Открыт Ив Юнан из Cisco Talos. (TALOS-CAN-0119)
• Исправлено чтение вне пределов, обнаруженное Ив Юнаном из Cisco Talos. (TALOS-CAN-0123)
• Исправлена ​​проблема обхода каталога. Открыт Ив Юнан из Cisco Talos (TALOS-CAN-0128).
• Исправлена ​​уязвимость удаленного отказа в обслуживании, которая может привести к разыменованию нулевого указателя. Открыт Ив Юнан из Cisco Talos. (TALOS-CAN-0133)
• Исправлено дистанционное отрицание обслуживания, которое может привести к чтению вне пределов. Открыт Ив Юун из Cisco Talos (TALOS-CAN-0134).
• Исправлено многократное переполнение удаленного буфера. Открыт Ив Юнан из Cisco Talos. (TALOS-CAN-0136)
• Исправлено разыменование удаленного NULL-указателя. Открыт Ив Юнан из Cisco Talos (TALOS-CAN-0137).
• Исправлена ​​проблема удаленного выполнения кода, обнаруженная Ивом Юнаном из Cisco Talos. (TALOS-CAN-0142)
• Исправлена ​​удаленная уязвимость отказа в обслуживании при настройке контактов. Открыт Ив Юнан из Cisco Talos (TALOS-CAN-0141).
• Исправлена ​​уязвимость записи на удаленном уровне. Открыт Ив Юнан из Cisco Talos. (TALOS-CAN-0139)
• Исправлена ​​ошибка чтения удаленных окон. Открыт Ив Юнан из Cisco Talos. (TALOS-CAN-0143)

Что нового в версии 2.10.12:

• Общие:
• purple-url-обработчик теперь работает с Python 3.x (Daniel van Eeden)
• Исправлена ​​ошибка, при которой удаленные статусы запуска могут быть удалены (Jakub Adam) (# 16762)
• Pidgin:
• Теперь кривая улыбка соответствует теме по умолчанию (Steve Vaught)
• Изменения в Windows:
• Обновления зависимостей:
• Cyrus SASL 2.1.26
• libxml2 2.9.2
• NSS 3.20.1 и NSPR 4.10.10
• Perl 5.20.1
• SILC 1.1.12
• Удалить поддержку плагинов Tcl
• Gadu-Gadu:
• Обновлен внутренний libgadu до версии 1.12.1.
• Голос / Видео:
• Поддержка GStreamer 1.0
• Требование Bump farstream02 к 0.2.7
• Другие изменения, связанные с VV, необходимые для стороннего плагина SIPE (David Woodhouse, Jakub Adam, Youness Alaoui)
• Цель:
• Исправление для AIM при использовании прокси-серверов шлюза (например, smarsh) (Youness Alaoui, # 14917)
• Плагины:
• Не показывать смайлики в заголовках плагина History. (mmcc, # 16747)

Что нового в версии 2.10.11:

• Общие:
• Исправить обработку самоподписанных сертификатов SSL / TLS при использовании плагина NSS (# 16412)
• Улучшить набор шифрования по умолчанию, используемый с плагином NSS (# 16262)
• Добавить плагин NSS Preferences, который позволяет настроить версии SSL и TLS версий и шифров (# 8061).
• Gadu-Gadu:
• Исправить ошибку, которая запретила загрузку плагина при компиляции без GnuTLS. (манча) (# 16431)
• Исправить сборку для платформ без определения AF_LOCAL. (# 16404)
• MSN:
• Исправить сломанный логин из-за изменения сервера (dx, TReKiE). (# 16451, # 16455)
• Сбой раньше, когда список контактов недоступен, а не тратится впустую.

Что нового в версии 2.10.10:

• Общие:
• Проверить расширение основных ограничений при проверке сертификатов SSL / TLS. Это исправляет дыру в безопасности, которая позволяет злоумышленнику-человеку посещать сервер IM или любую другую конечную точку https. Это повлияло как на плагины NSS, так и на GnuTLS. (Обнаружен анонимным человеком и Джейкобом Аппельбаумом из Tor Project, благодаря Moxie Marlinspike для первого опубликования об этом типе уязвимости. Благодаря Kai Engert для руководства и некоторых изменений в NSS) (CVE-2014-3694)
• Разрешить и использовать TLS 1.2 и 1.1 при использовании плагина NSS для SSL. (Элронд и Ашиш Гупта) (# 15909)
• совместимость с libpurple3:
• Зашифрованные пароли учетной записи сохраняются до тех пор, пока не будет установлен новый.
• Исправить загрузку аккаунтов Google Talk и Facebook XMPP.
• Изменения в Windows:
• Не разрешайте перезаписывать произвольные файлы в файловой системе, когда пользователь устанавливает тему смайлика с помощью перетаскивания. (Открыт Ив Юнаном из Cisco Talos) (CVE-2014-3697).
• Обновления зависимостей
• NSS 3.17.1 и NSPR 4.10.7
• Finch:
• Исправить сборку с Python 3. (Ed Catmur) (# 15969)
• Gadu-Gadu:
• Обновлен внутренний libgadu до версии 1.12.0.
• Groupwise:
• Исправить потенциальное удаленное сообщение о синтаксическом анализе сбоев, которое указывает, что нужно выделить большой объем памяти. (Открыт Ивом Юнаном и Ричардом Джонсоном из Cisco Talos) (CVE-2014-3696).
• IRC:
• Исправить возможную утечку незашифрованных данных при использовании команды / me с OTR. (Thijs Alkemade) (# 15750).
• MXit:
• Исправить потенциальную удаленную аварийную ситуацию, анализируя отвратительный ответ смайлика. (Открыт Ив Юнаном и Ричардом Джонсоном из Cisco Talos) (CVE-2014-3695).
• XMPP:
• Исправить потенциальную утечку информации, когда вредоносный сервер XMPP и, возможно, даже вредоносный удаленный пользователь могут создать тщательно обработанное сообщение XMPP, которое заставляет libpurple отправлять сообщение XMPP, содержащее произвольную память. (Открыто и исправлено Thijs Alkemade и Paul Aurich) (CVE-2014-3698).
• Исправлена ​​ошибка приписывания Facebook XMPP. (# 15041, # 15957)
• Yahoo:
• Исправьте логин при использовании библиотеки GnuTLS для подключений TLS. (# 16172)

Что нового в версии 2.10.9:

• XMPP:
• Исправить проблемы с регистрацией на некоторых серверах, включая jabber.org и chat.facebook.com. (# 15879)

Что нового в версии 2.10.8:

• Общие:
• Сценарии сборки Python и примерные плагины теперь совместимы с Python 3. (Ashish Gupta) (# 15624)
• libpurple:
• Исправить потенциальный сбой, если libpurple получит ошибку, пытающуюся прочитать ответ с сервера STUN. (Обнаружен статическим анализом Coverity) (CVE-2013-6484).
• Исправить потенциальный аварийный синтаксический анализ неправильного ответа HTTP. (Открыт Джейкобом Аппельбаумом из проекта Tor) (CVE-2013-6479).
• Исправить переполнение буфера при анализе неверного ответа HTTP с помощью кодирования с кодировкой передачи. (Открыто Мэттом Джонсом, Вольвентом) (CVE-2013-6485).
• Лучшая обработка ответов HTTP-прокси с отрицательными Content-Length. (Открыто Мэттом Джонсом, Вольвентом).
• Исправить обработку сертификатов SSL без объектов при использовании libnss.
• Исправить обработку SSL-сертификатов с отметками времени в отдаленном будущем при использовании libnss. (# 15586)
• Настройте максимальный размер загрузки для всех запросов HTTP.
• Pidgin:
• Исправлена ​​ошибка отображения всплывающих подсказок с длинными URL-адресами. (CVE-2013-6478)
• Лучшая обработка URL-адресов длиной более 1000 символов.
• Исправить обработку многобайтовых символов UTF-8 в смайликах. (# 15756)
• Изменения в Windows:
• При нажатии файла: // ссылки, покажите файл в проводнике, а не пытайтесь запустить файл. Это снижает вероятность нажатия пользователем на ссылку и ошибочного запуска вредоносного файла. (Первоначально обнаружен Джеймсом Бертоном, Insomnia Security. Открыт Ив Юнаном из Sourcefire VRT.) (CVE-2013-6486).
• Исправить скрипты Tcl. (# 15520)
• Исправьте аварийный старт, когда ASLR всегда включен. (# 15521)
• Обновления зависимостей:
• NSS 3.15.4 и NSPR 4.10.2
• Pango 1.29.4-1daa. Патч для https://bugzilla.gnome.org/show_bug.cgi?id=668154
• Цель:
• Исправить недопустимую ошибку сертификата.
• AIM и ICQ:
• Исправьте возможный сбой при получении неверного сообщения в сеансе Direct IM.
• Gadu-Gadu:
• Исправить переполнение буфера с возможным удалением кода. Только инициируется сервером Gadu-Gadu или человеком в середине. (Открыто Ив Юнаном и Райаном Пентни из Sourcefire VRT) (CVE-2013-6487).
• Отключить список контактов для импорта / экспорта из / на сервер (он больше не работает). Синхронизация списка друзей будет реализована в версии 3.0.0.
• Отключить новые параметры регистрации учетной записи и изменения пароля, так как это не сработало. Регистрация учетной записи также вызвала сбой. Обе функции доступны с официального сайта Gadu-Gadu.
• IRC:
• Исправить ошибку, когда вредоносный сервер или «человек в середине» может вызвать сбой, не отправляя достаточно аргументов с различными сообщениями. (Обнаружен Даниэлем Аталлахом) (CVE-2014-0020).
• Исправить ошибку, где исходный статус IRC не будет установлен правильно.
• Исправить ошибку, когда IRC недоступен, когда libpurple был скомпилирован с поддержкой Cyrus SASL. (# 15517)
• MSN:
• Исправить ошибки NULL для разыменования разворотов в MSN. (Открыт Фабианом Ямагучи и Кристианом Вресснеггером из Университета Геттингена) (CVE-2013-6482).
• Исправить разметку NULL-указателя, анализируя данные OIM в MSN. (Открыт Фабианом Ямагучи и Кристианом Вресснеггером из Университета Геттингена) (CVE-2013-6482).
• Исправить разметку NULL-указателя, анализируя данные SOAP в MSN. (Открыт Фабианом Ямагучи и Кристианом Вресснеггером из Университета Геттингена) (CVE-2013-6482).
• Исправить возможный сбой при отправке очень длинных сообщений. Не удаленно. (Открыто Мэттом Джонсом, Вольвентом).
• MXit:
• Исправить переполнение буфера с возможным удалением кода. (Открыто Ив Юнаном и Павелом Яником из Sourcefire VRT) (CVE-2013-6489).
• Исправить спорадические сбои, которые могут произойти после отсоединения пользователя.
• Исправить сбой при попытке добавить контакт через результаты поиска.
• Показать сообщение об ошибке, если передача файла завершается неудачно.
• Исправить компиляцию с помощью InstantBird.
• Исправить отображение некоторых пользовательских смайликов.
• ОДУЖ:
• Правильно установите размеры доски в сеансах доски.
• SIMPLE:
• Исправить переполнение буфера с возможным удалением кода. (Открыт Ив Юнаном из Sourcefire VRT) (CVE-2013-6490).
• XMPP:
• Предотвращение подмены ответов iq путем проверки того, что адрес «from» соответствует адресу «to» запроса iq. (Обнаружен Фабианом Ямагучи и Кристианом Вресснеггером из Университета Геттингена, установленным Тийсом Алкемаде) (CVE-2013-6483).
• Исправить ошибку в некоторых системах при получении фальшивых временных меток с экстремальными значениями. (Открыт Хайме Бревой Рибес) (CVE-2013-6477).
• Исправьте возможный сбой или другое неустойчивое поведение при выборе очень маленького файла для вашего собственного значка приятеля.
• Исправьте сбой, если пользователь пытается инициировать сеанс голосовой / видеосъемки с нересурсным JID.
• Исправить ошибки входа, когда первые два доступных механизма авторизации не работают, но при использовании Cyrus SASL в противном случае будет работать другой механизм. (# 15524)
• Исправлено удаление входящих строф в соединениях BOSH, когда мы сразу получаем несколько ответов HTTP. (Issa Gorissen) (# 15684)
• Yahoo!
• Исправить возможные сбои при обработке входящих строк, которые не являются UTF-8. (Открыто Thijs Alkemade и Robert Vehse) (CVE-2012-6152).
• Исправить ошибку, читающую одноранговое сообщение, где удаленный пользователь может вызвать сбой. (CVE-2013-6481)
• Плагины:
• Исправить ошибку в плагине доступности контактов.
• Fix perl function Purple :: Network :: ip_atoi
• Добавить плагин интеграции Unity.

Что нового в версии 2.10.7:

• Общие:
• Теперь скрипт configure выйдет со статусом 1 при указании недействительных плагинов протокола с использованием аргументов --with-static-prpls и --with-dynamic-prpls. (Майкл Фидлер) (# 15316)
• libpurple:
• Исправьте сбой при получении ответов UPnP с аномально длинными значениями. (CVE-2013-0274)
• Не связывайтесь напрямую с libgcrypt при создании с поддержкой GnuTLS. (Bartosz Brachaczek) (# 15329)
• Исправьте UPnP-сопоставления на маршрутизаторах, которые возвращают пустые элементы в свой ответ. (Ferdinand Stehle) (# 15373)
• Плагин Tcl использует более безопасную загрузку плагинов без участия пользователя.
• Исправить тестовый плагин Tcl для сохранения сохраненного состояния. (Эндрю Шадура) (# 15443)
• Pidgin:
• Сделайте Pidgin более дружелюбным к не-X11 GTK +, например, MacPorts? ' + no_x11.
• Gadu-Gadu:
• Исправьте сбой при запуске с большим списком контактов. Поддержка аватара для друзей будет отключена до 3.0.0. (# 15226, # 14305)
• IRC:
• Поддержка аутентификации SASL. (Thijs Alkemade, Энди Спенсер) (# 13270)
• Печатать информацию о настройке темы при соединении каналов. (# 13317)
• MSN:
• Исправлена ​​ошибка SSL-сертификата при входе в MSN для некоторых пользователей.
• Исправьте сбой при удалении пользователя перед загрузкой его значка. (Марк Барфилд) (# 15217)
• MXit:
• Исправьте две ошибки, в которых удаленный пользователь MXit может указать локальный путь к файлу, на который нужно записать. (CVE-2013-0271)
• Исправить ошибку, когда сервер MXit или человек в середине могут отправить специально созданные данные, которые могут переполнять буфер и привести к сбою или удалению кода. (CVE-2013-0272)
• Показать прощальные сообщения другого цвета, чтобы отличить их от обычных сообщений.
• Добавить поддержку для ввода уведомлений.
• Добавить поддержку атрибута профиля статуса отношений.
• Удалить все ссылки на скрытый номер.
• Игнорировать новые приглашения для присоединения к GroupChat? если вы уже подключены или у вас еще есть ожидающий приглашение.
• Имя собеседника было не центрировано по вертикали в списке приятелей, если у них не было сообщений о статусе или настроении.
• Исправить декодирование изменений размера шрифта в разметке полученных сообщений.
• Увеличьте максимальный размер файла, который можно перенести на 1 МБ.
• При настройке изображения аватара больше не уменьшайте его до 96x96.
• Sametime:
• Устранение сбоя в Sametime, когда вредоносный сервер отправляет нам аномально длинный идентификатор пользователя. (CVE-2013-0273)
• Yahoo:
• Исправить двухкратный код загрузки профиля / изображения. (Михай Сербан) (# 15053)
• Исправить получение псевдонимов на стороне сервера. (Catalin Salgu) (# 15381)
• Плагины:
• Голос / Видео? Плагин настроек поддерживает использование бэкэндов SnDio GStreamer. (Брэд Смит) (# 14414)
• Исправьте сбой в плагине обнаружения доступности. (Mark) (# 15327)
• Сделать плагин Message Notification более дружественным к не-X11 GTK +, например, MacPorts? ' + no_x11.

Что нового в версии 2.10.6:

• Исправить ошибку, для которой требуется тройной щелчок откройте окно беседы из списка друзей. (# 15199)

Что нового в версии 2.10.5:

• libpurple:
• Добавьте поддержку настроек прокси-сервера GNOME3. (Михай Сербан) (# 15054)
• Pidgin:
• Исправьте ошибку, которая может возникнуть при попытке игнорировать пользователя, который не находится в текущей комнате чата. (# 15139)
• MSN:
• Исправить здание с помощью MSVC на Windows (нарушено в 2.10.4). (Флориан Квез)
• MXit:
• Исправить уязвимость переполнения буфера при анализе входящих сообщений, содержащих встроенные изображения. Спасибо Ульф Харнхаммар за сообщение об этом! (CVE-2012-3374)

Что нового в версии 2.10.4:

• Общие:
• Поддержка Farfor в дополнение к Farsight. (Оливье-Крит) (# 14936)
• IRC:
• Отключить периодический таймер ВОЗ. Списки пользователей канала IRC больше не будут автоматически отображать статус, но libpurple будет намного добрее к сети.
• Распечатайте неизвестные числа, чтобы подключить окна, если мы можем их связать. Спасибо Марину Зварт. (# 15090)
• MSN:
• Исправьте возможный сбой при получении сообщений с определенными символами или кодировками символов. Спасибо Фабиану Ямагучи за сообщение об этом!
• XMPP:
• Исправьте возможный сбой при получении серии специально созданных запросов на передачу файлов. Спасибо Хосе Валентину Гутьерресу за сообщение об этом! (CVE-2012-2214)
• Изменения в Windows:
• Слова, добавленные в словари проверки орфографии, сохраняются через перезагрузки Pidgin (# 11886).

Что нового в версии 2.10.3:

• MSN: Исправить приятелей, не выходящих в автономный режим. (# 14997)