Objet: Vulnérabilité du client IRC xchat

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

xchat versions 1.8.0 (incluse) à la version 2.0.8 (incluse).

Résumé

Une vulnérabilité dans xchat permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

xchat est un client IRC (Internet Relay Chat) graphique. Dans le cas où xchat utilise un proxy SOCKS 5 contrôlé par un utilisateur mal intentionné, il est possible pour ce dernier de faire exécuter du code arbitraire à distance sur la plate-forme victime.

Contournement Provisoire

Ne pas utiliser de serveur proxy SOCKS 5 non digne de confiance.

Solution

Se référer au bulletin de sécurité fourni par l'éditeur (cf. Documentation).

Documentation

• Site Internet de xchat :

  http://xchat.org
  

• Message électronique de Peter Zelezny du 05 avril 2004 sur la liste de diffusion xchat-announce :

  http://mail.nl.linux.org/xchat-announce/2004-04/msg00000.html
  

• Avis de sécurité Secunia SA11409 du 19 avril 2004 :

  http://secunia.com/advisories/11409/
  

• Avis de sécurité Gentoo GLSA 200404-15 du 19 avril 2004 :

  http://www.gentoo.org/security/en/glsa/glsa-200404-15.xml
  

• Avis de sécurité Debian DSA-493 du 21 avril 2004 :

  http://www.debian.org/security/2004/dsa-493
  

• Avis de sécurité Mandrake MDKSA-2004:036 du 21 avril 2004 :

  http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:036
  

• Avis de sécurité Red Hat RHSA-2004:177 :

  https://rhn.redhat.com/errata/RHSA-2004-177.html
  

• Avis de sécurité FreeBSD du 23 avril 2004 :

  http://www.vuxml.org/freebsd/
  

• Mise à jour de sécurité pour le paquetage NetBSD xchat :

  ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities