Debian-Sicherheitsankündigung

DSA-099-1 xchat -- Übernahme von IRC-Sitzungen

Datum des Berichts:

12. Jan 2002

Betroffene Pakete:

XChat

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2002-0006.

Weitere Informationen:

zen-parse hat eine Sicherheitslücke im IRC-Client XChat gefunden, die es einem Angreifer erlaubt, die IRC-Sitzungen des Benutzers zu übernehmen.

Man kann einen XChat-IRC-Client mittels eines Tricks anweisen, den IRC-Servern, mit denen ein Benutzer gerade verbunden ist, beliebige Kommandos zu schicken, was möglicherweise Social-Engineering-Attacken, Channel-Übernahmen und Denial-of-Service-Angriffe erlaubt. Das Problem existiert in den Versionen 1.4.2 und 1.4.3 des XChat-Clients. Spätere Versionen von XChat sind auch verwundbar, jedoch wird dieses Verhalten durch die Konfigurationsvariable »percascii« gesteuert, deren Standardwert 0 ist. Ist sie jedoch auf 1 gesetzt, tritt das Problem auch in 1.6/1.8 auf.

Dieses Problem wurde vom Upstream-Autor in der Version 1.8.7 und in Version 1.4.3-1 für die stabile Distribution von Debian (2.2) durch einen Patch vom Upstream-Autor Peter Zelezny behoben. Wir empfehlen Ihnen, Ihre XChat-Pakete umgehend auf den neuesten Stand zu bringen, da die Sicherheitslücke bereits aktiv ausgenutzt wird.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:: http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3.orig.tar.gz; http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.dsc; http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.diff.gz
Architektur-unabhängige Dateien:: http://security.debian.org/dists/stable/updates/main/binary-all/xchat-common_1.4.3-1_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-gnome_1.4.3-1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-text_1.4.3-1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat_1.4.3-1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-gnome_1.4.3-1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-text_1.4.3-1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/xchat_1.4.3-1_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-gnome_1.4.3-1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-text_1.4.3-1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/xchat_1.4.3-1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat_1.4.3-1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-gnome_1.4.3-1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-text_1.4.3-1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-gnome_1.4.3-1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat_1.4.3-1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-text_1.4.3-1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-text_1.4.3-1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-gnome_1.4.3-1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat_1.4.3-1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.