漏洞信息详情
Irssi拒绝服务和SSL主机名验证漏洞
- CNNVD编号:CNNVD-201004-293
- 危害等级: 中危
- CVE编号: CVE-2010-1155
- 漏洞类型: 输入验证
- 发布时间: 2010-04-16
- 威胁类型: 远程
- 更新时间: 2010-04-19
- 厂 商: irssi
- 漏洞来源: Alexander Fæ...
漏洞简介
Irssi是一款免费开放源代码的IRC客户端,可使用在Linux和Unix操作系统下。
Irssi存在SSL主机名验证漏洞。当用户使用SSL时,Irssi并不验证服务器主机名是否匹配主题CN字段的域名或X.509证书的主题备选名称字段,中间人攻击者可利用任意证书伪造IRC服务器。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.irssi.org/news/ChangeLog
Ubuntu已经为此发布了一个安全公告(USN-929-1)以及相应补丁:
USN-929-1:irssi vulnerabilities
链接:
http://www.ubuntu.com/usn/USN-929-1
参考网址
来源: VUPEN
名称: ADV-2010-0856
链接:http://www.vupen.com/english/advisories/2010/0856
来源: XF
名称: irssi-hostname-mitm(57790)
链接:http://xforce.iss.net/xforce/xfdb/57790
来源: UBUNTU
名称: USN-929-1
链接:http://www.ubuntu.com/usn/USN-929-1
来源: SECUNIA
名称: 39365
链接:http://secunia.com/advisories/39365
来源: MLIST
名称: [oss-security] 20100413 Re: CVE request: irssi 0.8.15
链接:http://marc.info/?l=oss-security&m=127119240204394&w=2
来源: MLIST
名称: [oss-security] 20100413 Re: CVE request: irssi 0.8.15
链接:http://marc.info/?l=oss-security&m=127116251220784&w=2
来源: MLIST
名称: [oss-security] 20100412 Re: CVE request: irssi 0.8.15
链接:http://marc.info/?l=oss-security&m=127110132019166&w=2
来源: MLIST
名称: [oss-security] 20100411 CVE request: irssi 0.8.15
链接:http://marc.info/?l=oss-security&m=127098845125270&w=2
来源: irssi.org
链接:http://irssi.org/news/ChangeLog
来源: irssi.org
链接:http://irssi.org/news
来源: github.com
链接:http://github.com/ensc/irssi-proxy/commit/85bbc05b21678e80423815d2ef1dfe26208491ab
来源:NSFOCUS 名称:14840 链接:http://www.nsfocus.net/vulndb/14840
受影响实体
- Irssi Irssi:0.8.9
- Irssi Irssi:0.8.8
- Irssi Irssi:0.8.7
- Irssi Irssi:0.8.0
- Irssi Irssi:0.8.2
补丁
- irssi-0.8.15
- irssi-0.8.15
评论