Risque
- Exécution de code arbitraire à distance
Systèmes affectés
xchat versions 1.8.0 (incluse) à la version 2.0.8 (incluse).
Résumé
Une vulnérabilité dans xchat permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
xchat est un client IRC (Internet Relay Chat) graphique. Dans le cas où xchat utilise un proxy SOCKS 5 contrôlé par un utilisateur mal intentionné, il est possible pour ce dernier de faire exécuter du code arbitraire à distance sur la plate-forme victime.
Contournement Provisoire
Ne pas utiliser de serveur proxy SOCKS 5 non digne de confiance.
Solution
Se référer au bulletin de sécurité fourni par l'éditeur (cf. Documentation).
Documentation
- Message électronique de Peter Zelezny du 05 avril 2004 http://mail.nl.linux.org/xchat-announce/2004-04/msg00000.html
- Avis de sécurité Debian DSA-493 du 21 avril 2004 : http://www.debian.org/security/2004/dsa-493
- Avis de sécurité FreeBSD du 23 avril 2004 : http://www.vuxml.org/freebsd/
- Avis de sécurité Gentoo GLSA 200404-15 du 19 avril 2004 : http://www.gentoo.org/security/en/glsa/glsa-200404-15.xml
- Avis de sécurité Mandrake MDKSA-2004:036 du 21 avril 2004 : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:036
- Avis de sécurité Red Hat RHSA-2004:177 : https://rhn.redhat.com/errata/RHSA-2004-177.html
- Avis de sécurité Secunia SA11409 du 19 avril 2004 : http://secunia.com/advisories/11409/
- Mise à jour de sécurité pour le paquetage NetBSD xchat : ftp://ftp.netbsd.org/pub/NetBSD/packages/distfiles/vulnerabilities
- Site Internet de xchat : http://xchat.org