Säkerhetsbulletin från Debian

DSA-4016-1 irssi -- säkerhetsuppdatering

Rapporterat den:
2017-11-03
Berörda paket:
irssi
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 867598, Fel 879521.
I Mitres CVE-förteckning: CVE-2017-10965, CVE-2017-10966, CVE-2017-15227, CVE-2017-15228, CVE-2017-15721, CVE-2017-15722, CVE-2017-15723.
Ytterligare information:

Flera sårbarheter har upptäckts i Irssi, en terminalbaserad IRC-klient. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2017-10965

    Brian geeknik Carpenter från Geeknik Labs upptäckte att Irssi inte hanterar mottagning av meddelande med ogiltiga tidsstämplar ordentligt. En illasinnad IRC-server kan dra fördel av denna brist för att få Irssi att krascha, vilket resulterar i överbelastning.

  • CVE-2017-10966

    Brian geeknik Carpenter från Geeknik Labs upptäckte att Irssi är sårbar för en användning efter frigörningsbrist som triggas vid uppdatering av den interna nick-listan. En illasinnad IRC-server kan dra fördel av denna brist för att få Irssi att krascha, vilket resulterar i överbelastning.

  • CVE-2017-15227

    Joseph Bisch upptäckte att när den väntar på kanalsynkronisering kan Irssi felaktigt misslyckas att ta bort förströrda kanaler från förfråge-listan, vilket resulterar i ett användning efter frigörningsläge vid uppdatering av läget senare. En illasinnad IRC-server kan dra fördel av denna brist för att få Irssi att krascha, vilket resulterar i en överbelastning.

  • CVE-2017-15228

    Hanno Boeck rapporterade att Irssi inte hanterar installation av teman ordentligt när temat innehåller icke-avslutade färgformatteringssekvenser, vilket leder till överbelastning om en användare luras till att installera ett speciellt skapat tema.

  • CVE-2017-15721

    Joseph Bisch upptäckte att Irssi inte hanterar felaktigt formatterade DCC CTCP-meddelanden ordentligt. En fjärrangripare kan dra fördel av denna brist för att orsaka att Irssi kraschar, vilket resulterar i överbelastning.

  • CVE-2017-15722

    Joseph Bisch upptäckte att Irssi inte veriferar Säkra kanal-IDs ordentligt. En illasinnad IRC-server kan dra fördel av denna brist för att orsaka att Irssi kraschar, vilket resulterar i överbelastning.

  • CVE-2017-15723

    Joseph Bisch rapporterade att Irssi inte hanterar för långa nicks eller mål ordentligt, vilket resulterar i en NULL-pekardereferens vid uppdelning av meddelandet vilket leder till överbelastning.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 0.8.17-1+deb8u5.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1.0.2-1+deb9u3. CVE-2017-10965 och CVE-2017-10966 har redan rättats i en tidigare punktutgåva.

Vi rekommenderar att ni uppgraderar era irssi-paket.