Debian セキュリティ勧告
DSA-099-1 xchat -- IRC セッションのジャック
- 報告日時:
- 2002-01-12
- 影響を受けるパッケージ:
- XChat
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2002-0006.
- 詳細:
-
zen-parse さんにより、XChat IRC クライアントに 攻撃者がユーザの IRC セッションを奪うことができる 脆弱性が 発見されました。
XChat IRC クライアントに、利用している IRC サーバに 任意のコマンドを送るように仕組むことができます。 これは潜在的にソーシャルエンジニアリング (人間の心理を突いて計算機に 悪事をはたらくこと) 、チャンネルの乗っ取りおよびサービス停止攻撃を 許してしまいます。 この問題は、バージョン 1.4.2 と 1.4.3 にあります。 これよりも新しい XChat にも同様の脆弱性がありますが、その挙動は 設定変数 »percascii« によって制御されており、この値は デフォルトでは 0 になっています。 この変数が 1 に設定されるとバージョン 1.6/1.8 でも同様の問題が起こります。
この問題は、上流では、Debian の安定版リリース (2.2) 用のバージョン 1.8.7 およびバージョン 1.4.3-1 で、上流の 作者 Peter Zelezny さんによって作られたパッチを当てて修正されています。 早急に XChat パッケージをアップグレードすることをお勧めします。 現在、この問題を突いた攻撃が盛んに行われているからです。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
- ソース:
- http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.dsc
- http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.dsc
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/dists/stable/updates/main/binary-all/xchat-common_1.4.3-1_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-gnome_1.4.3-1_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-text_1.4.3-1_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat_1.4.3-1_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-text_1.4.3-1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-gnome_1.4.3-1_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-text_1.4.3-1_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/xchat_1.4.3-1_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-text_1.4.3-1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-gnome_1.4.3-1_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-text_1.4.3-1_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/xchat_1.4.3-1_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-text_1.4.3-1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat_1.4.3-1_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-gnome_1.4.3-1_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-text_1.4.3-1_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-gnome_1.4.3-1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-gnome_1.4.3-1_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat_1.4.3-1_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-text_1.4.3-1_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat_1.4.3-1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-text_1.4.3-1_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-gnome_1.4.3-1_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat_1.4.3-1_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-gnome_1.4.3-1_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。