Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Описание
В Irssi, IRC-клиенте для терминала, были обнаружены многочисленные
уязвимости. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:
CVE-2017-10965
Брайан geeknik Карпентер из Geeknik Labs обнаружил, что Irssi
неправильно обрабатывает получение сообщений с некорректной временной меткой.
Вредоносный IRC-сервер может использовать эту уязвимость для вызова аварийной
остановки Irssi, что приводит к отказу в обслуживании.
CVE-2017-10966
Брайан geeknik Карпентер из Geeknik Labs обнаружил, что программа Irssi, вероятно,
подвержена использованию указателей после освобождения памяти, которое проявляется во время
обновления внутреннего списка ников. Вредоносный IRC-сервер может использовать
эту уязвимость для вызова аварийной остановки Irssi, что приводит к отказу в обслуживании.
CVE-2017-15227
Йозеф Биш обнаружил, что во время ожидания синхронизации канала
Irssi может по ошибке не удалить удалённый на сервере канал из
списка запросов, что приводит к использованию указателей после освобождения памяти
при последующем обновлении состояния. Вредоносный IRC-сервер может использовать
эту уязвимость для вызова аварийной остановки Irssi, что приводит к
отказу в обслуживании.
CVE-2017-15228
Ханно Бёк сообщил, что Irssi неправильно обрабатывает установку тем
оформления, содержащих незавершённые форматирующие последовательности, описывающие цвета,
что приводит к отказу в обслуживании в случае, если пользователь установит специально
сформированную тему.
CVE-2017-15721
Йозеф Биш обнаружил, что Irssi неправильно обрабатывает
некорректно отформатированные сообщения DCC CTCP. Удалённый злоумышленник может
использовать эту уязвимость для вызова аварийной остановки Irssi, что приводит к
отказу в обслуживании.
CVE-2017-15722
Йозеф Биш обнаружил, что Irssi неправильно выполняет проверку идентификаторов
безопасности канала. Вредоносный IRC-сервер может использовать эту уязвимость
для вызова аварийной остановки Irssi, что приводит к отказу в обслуживании.
CVE-2017-15723
Йозеф Биш сообщил, что Irssi неправильно обрабатывает слишком длинные ники
или цели, что приводит к разыменованию NULL-указателя при разделении
сообщения, а также к отказу в обслуживании.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 0.8.17-1+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1.0.2-1+deb9u3. CVE-2017-10965 и CVE-2017-10966 уже были
исправлены ранее в свежей редакции выпуска.
Рекомендуется обновить пакеты irssi.
уязвимости. Проект Common Vulnerabilities and Exposures определяет
следующие проблемы:
CVE-2017-10965
Брайан geeknik Карпентер из Geeknik Labs обнаружил, что Irssi
неправильно обрабатывает получение сообщений с некорректной временной меткой.
Вредоносный IRC-сервер может использовать эту уязвимость для вызова аварийной
остановки Irssi, что приводит к отказу в обслуживании.
CVE-2017-10966
Брайан geeknik Карпентер из Geeknik Labs обнаружил, что программа Irssi, вероятно,
подвержена использованию указателей после освобождения памяти, которое проявляется во время
обновления внутреннего списка ников. Вредоносный IRC-сервер может использовать
эту уязвимость для вызова аварийной остановки Irssi, что приводит к отказу в обслуживании.
CVE-2017-15227
Йозеф Биш обнаружил, что во время ожидания синхронизации канала
Irssi может по ошибке не удалить удалённый на сервере канал из
списка запросов, что приводит к использованию указателей после освобождения памяти
при последующем обновлении состояния. Вредоносный IRC-сервер может использовать
эту уязвимость для вызова аварийной остановки Irssi, что приводит к
отказу в обслуживании.
CVE-2017-15228
Ханно Бёк сообщил, что Irssi неправильно обрабатывает установку тем
оформления, содержащих незавершённые форматирующие последовательности, описывающие цвета,
что приводит к отказу в обслуживании в случае, если пользователь установит специально
сформированную тему.
CVE-2017-15721
Йозеф Биш обнаружил, что Irssi неправильно обрабатывает
некорректно отформатированные сообщения DCC CTCP. Удалённый злоумышленник может
использовать эту уязвимость для вызова аварийной остановки Irssi, что приводит к
отказу в обслуживании.
CVE-2017-15722
Йозеф Биш обнаружил, что Irssi неправильно выполняет проверку идентификаторов
безопасности канала. Вредоносный IRC-сервер может использовать эту уязвимость
для вызова аварийной остановки Irssi, что приводит к отказу в обслуживании.
CVE-2017-15723
Йозеф Биш сообщил, что Irssi неправильно обрабатывает слишком длинные ники
или цели, что приводит к разыменованию NULL-указателя при разделении
сообщения, а также к отказу в обслуживании.
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 0.8.17-1+deb8u5.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 1.0.2-1+deb9u3. CVE-2017-10965 и CVE-2017-10966 уже были
исправлены ранее в свежей редакции выпуска.
Рекомендуется обновить пакеты irssi.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
irssi - 1.0.2-1+deb9u3
irssi-dev - 1.0.2-1+deb9u3
Debian GNU/Linux 8:
noarch:
irssi - 0.8.17-1+deb8u5
irssi-dbg - 0.8.17-1+deb8u5
irssi-dev - 0.8.17-1+deb8u5
Debian GNU/Linux 9:
noarch:
irssi - 1.0.2-1+deb9u3
irssi-dev - 1.0.2-1+deb9u3
Debian GNU/Linux 8:
noarch:
irssi - 0.8.17-1+deb8u5
irssi-dbg - 0.8.17-1+deb8u5
irssi-dev - 0.8.17-1+deb8u5
Ссылки
http://www.debian.org/security/dsa-4016/
Источник: CVE
Наименование: CVE-2017-15228
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15228
Источник: CVE
Наименование: CVE-2017-15723
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15723
Источник: CVE
Наименование: CVE-2017-15227
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15227
Источник: CVE
Наименование: CVE-2017-15721
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15721
Источник: CVE
Наименование: CVE-2017-10965
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10965
Источник: CVE
Наименование: CVE-2017-10966
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10966
Источник: CVE
Наименование: CVE-2017-15722
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15722
Источник: CVE
Наименование: CVE-2017-15228
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15228
Источник: CVE
Наименование: CVE-2017-15723
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15723
Источник: CVE
Наименование: CVE-2017-15227
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15227
Источник: CVE
Наименование: CVE-2017-15721
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15721
Источник: CVE
Наименование: CVE-2017-10965
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10965
Источник: CVE
Наименование: CVE-2017-10966
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10966
Источник: CVE
Наименование: CVE-2017-15722
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15722