LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-384-1 inspircd

Bulletin d'alerte Debian

DLA-384-1 inspircd -- Mise à jour de sécurité pour LTS

Date du rapport :

13 janvier 2016

Paquets concernés :

inspircd

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 668253.
Dans le dictionnaire CVE du Mitre : CVE-2015-8702.

Plus de précisions :

InspIRCd ne validait pas les noms dans les réponses DNS avant de les utiliser dans la communication entre serveurs. Un attaquant distant contrôlant le serveur DNS inverse pour un client IRC pourrait utiliser cela pour un déni de service ou éventuellement pour une augmentation de droits sur le réseau IRC.

InspIRCd semble avoir été complètement inutilisable à partir de la version 1.1.22+dfsg-4+squeeze1 à cause d'un bogue dans son système de construction, déclenché par les versions d'(e)glibc supérieures à 2.9. Cela aussi a été corrigé.