Рекомендация Debian по безопасности

DSA-099-1 xchat -- похищение сессии IRC

Дата сообщения:

12.01.2002

Затронутые пакеты:

XChat

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2002-0006.

Более подробная информация:

zen-parse обнаружил уязвимость в IRC-клиенте XChat, которая позволяет злоумышленнику захватить IRC-сессию пользователя.

Можно заставить IRC-клиента XChat отправить произвольные команды на сервер IRC, к которому этот клиент подключен, что потенциально позволяет выполнять атаки в духе социального инжиниринга, захвата каналов и отказа в обслуживании. Эта проблема присутствует в версиях 1.4.2 и 1.4.3. Более поздние версии XChat также содержат эту уязвимость, но поведение программы определяется переменной окружения »percascii«, которая по умолчанию имеет значение 0. Если она имеет значение 1, то указанная проблема становится актуально и в версиях 1.6/1.8.

Эта проблема была исправлена в версии 1.8.7 из основной ветки разработки и в версии 1.4.3-1 для текущего стабильного выпуска Debian (2.2) благодаря заплате, предоставленной Питером Железны, автором основной ветки разработки. Рекомендуется как можно скорее обновить пакеты XChat, так как эта проблема уже активно используется злоумышленниками.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:: http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3.orig.tar.gz; http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.dsc; http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.diff.gz
Независимые от архитектуры компоненты:: http://security.debian.org/dists/stable/updates/main/binary-all/xchat-common_1.4.3-1_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-gnome_1.4.3-1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-text_1.4.3-1_alpha.deb; http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat_1.4.3-1_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-gnome_1.4.3-1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-text_1.4.3-1_arm.deb; http://security.debian.org/dists/stable/updates/main/binary-arm/xchat_1.4.3-1_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-gnome_1.4.3-1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-text_1.4.3-1_i386.deb; http://security.debian.org/dists/stable/updates/main/binary-i386/xchat_1.4.3-1_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat_1.4.3-1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-gnome_1.4.3-1_m68k.deb; http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-text_1.4.3-1_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-gnome_1.4.3-1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat_1.4.3-1_powerpc.deb; http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-text_1.4.3-1_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-text_1.4.3-1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-gnome_1.4.3-1_sparc.deb; http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat_1.4.3-1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.