BitchX es vulnerable a un ataque de desbordamiento de búfer que
permite la ejecución de código arbitrario en la máquina del usuario,
con los privilegios del usuario que haya invocado el programa.
BitchX es un cliente de IRC muy popular en el mundo Unix,
especialmente en los entornos Linux. Las versiones recientes de BitchX
son vulnerables a varios ataques de desbordamiento de búfer, en
concreto bajo el comando «invite». El problema se manifiesta cuando un
atacante invita a la víctima a un canal con comandos de formato en su
nombre.
En el mejor de los casos, el ataque provoca la caída de la conexión
IRC del usuario, y en el peor puede permitir la ejecución de código
arbitrario en la máquina de la víctima.
Los usuarios que utilicen BitchX deben actualizar su versión
enseguida, o bien aplicar los parches correspondientes. Los parches
sólo corrigen el problema más grave (el comando «invite»), pero la
versión actual del programa soluciona numerosos problemas potenciales
también.
Más información:
BitchX
http://www.bitchx.org/
Parches oficiales
ftp://ftp.bitchx.org/pub/BitchX/source
Parches BitchX
http://bitchx.vda.nl/
Parche para BitchX-75p3
ftp://ftp.vda.nl/pub/linux/BitchX/75p3-format.patch
Parche para BitchX 1.0cXX
ftp://ftp.vda.nl/pub/linux/BitchX/format.patch
jcea@hispasec.com
Deja una respuesta