Säkerhetsbulletin från Debian
DSA-099-1 xchat -- kapning av irc-session
- Rapporterat den:
- 2002-01-12
- Berörda paket:
- XChat
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2002-0006.
- Ytterligare information:
-
zen-parse upptäckte en sårbarhet i irc-klienten XChat vilken tillåter en angripare att ta över användarens irc-session.
Det är möjligt att lura XChat-irc-klienter att sända godtyckliga kommandon till irc-servern den är ansluten till, vilket potentiellt kan användas för bondfångeri (”social engineering attacks”) ta över kanaler eller överbelastningsattacker. Detta problem finns i version 1.4.2 och 1.4.3. Även senare versioner är sårbara, men denna funktion styrs av konfigurationsvariabeln ”percascii” vars förinställda värde är 0. Om den sätts till 1 dyker problemet upp även i 1.6/1.8.
Detta problem har rättats i uppströmsversion 1.8.7 och i version 1.4.3-1 för den nuvarande stabila Debianutgåvan (2.2) med en patch från uppströmsförfattaren Peter Zelezny. Vi rekommenderar att du uppgraderar dina XChat-paket omedelbart, eftersom detta problem redan aktivt utnyttjas.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
- http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.dsc
- http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/xchat_1.4.3-1.dsc
- Arkitekturoberoende komponent:
- http://security.debian.org/dists/stable/updates/main/binary-all/xchat-common_1.4.3-1_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-gnome_1.4.3-1_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-text_1.4.3-1_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat_1.4.3-1_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/xchat-text_1.4.3-1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-gnome_1.4.3-1_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-text_1.4.3-1_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/xchat_1.4.3-1_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/xchat-text_1.4.3-1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-gnome_1.4.3-1_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-text_1.4.3-1_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/xchat_1.4.3-1_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/xchat-text_1.4.3-1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat_1.4.3-1_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-gnome_1.4.3-1_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-text_1.4.3-1_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/xchat-gnome_1.4.3-1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-gnome_1.4.3-1_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat_1.4.3-1_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat-text_1.4.3-1_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/xchat_1.4.3-1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-text_1.4.3-1_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-gnome_1.4.3-1_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat_1.4.3-1_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/xchat-gnome_1.4.3-1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.