Debian DSA-4016-1：irssi - 安全更新

critical Nessus 插件 ID 104400

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已在基于终端的 IRC 客户端 Irssi 中发现多种漏洞。通用漏洞和暴露计划识别以下问题：- CVE-2017-10965 Geeknik Labs 的 Brian “geeknik” Carpenter 发现 Irssi 未正确处理接收带有无效时间戳的消息。恶意 IRC 服务器可利用此缺陷导致 Irssi 崩溃，从而造成拒绝服务。- CVE-2017-10966 Geeknik Labs 的 Brian “geeknik” Carpenter 发现 Irssi 容易受到释放后使用缺陷的影响，该缺陷会在更新内部昵称清单时触发。恶意 IRC 服务器可利用此缺陷导致 Irssi 崩溃，从而造成拒绝服务。- CVE-2017-15227 Joseph Bisch 发现，在等待通道同步时，Irssi 可能错误地未能从查询列表中删除已破坏的通道，从而导致之后更新状态出现释放后使用的情况。恶意 IRC 服务器可利用此缺陷导致 Irssi 崩溃，从而造成拒绝服务。- CVE-2017-15228 Hanno Boeck 报告 Irssi 未正确处理安装具有未结束颜色格式序列的主题，如果用户被诱骗安装特制主题，可导致拒绝服务。- CVE-2017-15721 Joseph Bisch 发现 Irssi 未正确处理格式不正确的 DCC CTCP 消息。远程攻击者可利用此缺陷导致 Irssi 崩溃，从而造成拒绝服务。- CVE-2017-15722 Joseph Bisch 发现 Irssi 未正确验证安全通道 ID。恶意 IRC 服务器可利用此缺陷导致 Irssi 崩溃，从而造成拒绝服务。- CVE-2017-15723 Joseph Bisch 报告 Irssi 未正确处理过长的昵称或目标，从而在拆分消息时造成空指针取消引用并导致拒绝服务。

解决方案

升级 irssi 程序包。对于旧稳定发行版本 (jessie)，这些问题已在版本 0.8.17-1+deb8u5 中修复。对于稳定发行版本 (stretch)，这些问题已在版本 1.0.2-1+deb9u3 中修复。CVE-2017-10965 和 CVE-2017-10966 已在之前的点版本中修复。