• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4016-1 irssi -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4016-1 irssi -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
irssi (any) irssi-dbg (any) irssi-dev (any)
Описание
В Irssi, IRC-клиенте для терминала, были обнаружены многочисленные
уязвимости. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:

CVE-2017-10965
    Брайан geeknik Карпентер из Geeknik Labs обнаружил, что Irssi
    неправильно обрабатывает получение сообщений с некорректной временной меткой.
    Вредоносный IRC-сервер может использовать эту уязвимость для вызова аварийной
    остановки Irssi, что приводит к отказу в обслуживании.
CVE-2017-10966
    Брайан geeknik Карпентер из Geeknik Labs обнаружил, что программа Irssi, вероятно,
    подвержена использованию указателей после освобождения памяти, которое проявляется во время
    обновления внутреннего списка ников. Вредоносный IRC-сервер может использовать
    эту уязвимость для вызова аварийной остановки Irssi, что приводит к отказу в обслуживании.
CVE-2017-15227
    Йозеф Биш обнаружил, что во время ожидания синхронизации канала
    Irssi может по ошибке не удалить удалённый на сервере канал из
    списка запросов, что приводит к использованию указателей после освобождения памяти
    при последующем обновлении состояния. Вредоносный IRC-сервер может использовать
    эту уязвимость для вызова аварийной остановки Irssi, что приводит к
    отказу в обслуживании.
CVE-2017-15228
    Ханно Бёк сообщил, что Irssi неправильно обрабатывает установку тем
    оформления, содержащих незавершённые форматирующие последовательности, описывающие цвета,
    что приводит к отказу в обслуживании в случае, если пользователь установит специально
    сформированную тему.
CVE-2017-15721
    Йозеф Биш обнаружил, что Irssi неправильно обрабатывает
    некорректно отформатированные сообщения DCC CTCP. Удалённый злоумышленник может
    использовать эту уязвимость для вызова аварийной остановки Irssi, что приводит к
    отказу в обслуживании.
CVE-2017-15722
    Йозеф Биш обнаружил, что Irssi неправильно выполняет проверку идентификаторов
    безопасности канала. Вредоносный IRC-сервер может использовать эту уязвимость
    для вызова аварийной остановки Irssi, что приводит к отказу в обслуживании.
CVE-2017-15723
    Йозеф Биш сообщил, что Irssi неправильно обрабатывает слишком длинные ники
    или цели, что приводит к разыменованию NULL-указателя при разделении
    сообщения, а также к отказу в обслуживании.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 0.8.17-1+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1.0.2-1+deb9u3. CVE-2017-10965 и CVE-2017-10966 уже были
исправлены ранее в свежей редакции выпуска.
Рекомендуется обновить пакеты irssi.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
irssi - 1.0.2-1+deb9u3
irssi-dev - 1.0.2-1+deb9u3
Debian GNU/Linux 8:
noarch:
irssi - 0.8.17-1+deb8u5
irssi-dbg - 0.8.17-1+deb8u5
irssi-dev - 0.8.17-1+deb8u5
Ссылки
http://www.debian.org/security/dsa-4016/

Источник: CVE
Наименование: CVE-2017-15228
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15228

Источник: CVE
Наименование: CVE-2017-15723
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15723

Источник: CVE
Наименование: CVE-2017-15227
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15227

Источник: CVE
Наименование: CVE-2017-15721
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15721

Источник: CVE
Наименование: CVE-2017-10965
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10965

Источник: CVE
Наименование: CVE-2017-10966
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10966

Источник: CVE
Наименование: CVE-2017-15722
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15722