Bulletin d'alerte Debian

DSA-3885-1 irssi -- Mise à jour de sécurité

Date du rapport :
18 juin 2017
Paquets concernés :
irssi
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 864400.
Dans le dictionnaire CVE du Mitre : CVE-2017-9468, CVE-2017-9469.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Irssi, un client IRC en mode terminal. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2017-9468

    Joseph Bisch a découvert que Irssi ne gère pas correctement les messages DCC sans pseudonyme ou hôte de source. Un serveur IRC malveillant peut tirer avantage de ce défaut pour provoquer le plantage d'Irssi, avec pour conséquence un déni de service.

  • CVE-2017-9469

    Joseph Bisch a découvert que Irssi ne gère pas correctement la réception de fichiers DCC incorrectement cités. Un attaquant distant peut tirer avantage de ce défaut pour provoquer le plantage d'Irssi, avec pour conséquence un déni de service.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 0.8.17-1+deb8u4.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.0.2-1+deb9u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.0.3-1.

Nous vous recommandons de mettre à jour vos paquets irssi.