Aviso de seguridad de Debian

DSA-099-1 xchat -- Robo de sesión IRC

Fecha del informe:

12 de ene de 2002

Paquetes afectados:

XChat

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2002-0006.

Información adicional:

zen-parse encontró una vulnerabilidad en el cliente de IRC XChat que permite a un atacante tomar la sesión de los usuarios de IRC.

Es posible engañar a los clientes IRC de XChat mandándoles comandos arbitrarios al servidor de IRC en el que están, permitiendo potencialmente ataques de ingeniería social, suplantación de canales, y denegación de servicio. Este problema existe en las versiones 1.4.2 y 1.4.3. Las versiones posteriores de XChat son vulnerables también, pero este comportamiento se controla con la variable »percascii«, que por defecto está a 0. Si se pone a 1 entonces el problema se hace patente en 1.6/1.8 también.

Este problema ha sido arreglado en la versión superior 1.8.7 y en la versión 1.4.3-1 para la versión estable de Debian (2.2) con un parche proporcionado por el autor de la versión siguiente Peter Zelezny. Recomendamos que actualice sus paquetes XChat inmediatamente, ya que el problema ya está siendo explotado activamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3.orig.tar.gz; http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.dsc; http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.diff.gz
Componentes independientes de la arquitectura:: http://security.debian.org/dists/stable/updates/main/binary-all/xchat-common_1.4.3-1_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-gnome_1.4.3-1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-text_1.4.3-1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat_1.4.3-1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-gnome_1.4.3-1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-text_1.4.3-1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/xchat_1.4.3-1_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-gnome_1.4.3-1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-text_1.4.3-1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/xchat_1.4.3-1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat_1.4.3-1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-gnome_1.4.3-1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-text_1.4.3-1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-gnome_1.4.3-1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat_1.4.3-1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-text_1.4.3-1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-text_1.4.3-1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-gnome_1.4.3-1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat_1.4.3-1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.