Bulletin d'alerte Debian

DSA-099-1 xchat -- Détournement de session IRC

Date du rapport :

12 janvier 2002

Paquets concernés :

XChat

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2002-0006.

Plus de précisions :

zen-parse a trouvé une vulnérabilité dans le client IRC XChat qui permet à un assaillant de prendre le contrôle de la session IRC des utilisateurs.

Il est possible de flouer les clients IRC Xchat en leur envoyant des commandes arbitraires via le serveur IRC auquel ils sont connectés, pouvant donner lieu à la collecte d'informations confidentielles ( social engineering attacks), des prises de contrôle de salons de discussion, et des attaques de type dénis de service. Ce problème existe dans les version 1.4.2 et 1.4.3. Les versions plus récentes de XChat sont elles aussi vulnérables, mais ce comportement est contrôlé par la variable de configuration « percascii », dont la valeur par défaut vaut 0. Si elle est instanciée à 1, alors les problèmes réapparaissent aussi dans les versions 1.6/1.8.

Ce problème a été corrigé dans la version 1.8.7 et dans la version 1.4.3-1 pour l'actuelle version stable de Debian (2.2) avec une rustine fournie par l'auteur Peter Zelezny. Nous vous recommandons de mettre à jour vos paquets Xchat immédiatement, étant donné que ce problème est déjà activement exploité.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :: http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3.orig.tar.gz; http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.dsc; http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.diff.gz
Composant indépendant de l'architecture :: http://security.debian.org/dists/stable/updates/main/binary-all/xchat-common_1.4.3-1_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-gnome_1.4.3-1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-text_1.4.3-1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat_1.4.3-1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-gnome_1.4.3-1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-text_1.4.3-1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/xchat_1.4.3-1_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-gnome_1.4.3-1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-text_1.4.3-1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/xchat_1.4.3-1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat_1.4.3-1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-gnome_1.4.3-1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-text_1.4.3-1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-gnome_1.4.3-1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat_1.4.3-1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-text_1.4.3-1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-text_1.4.3-1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-gnome_1.4.3-1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat_1.4.3-1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.