漏洞信息详情
psyBNC非法用户伪造加密信息漏洞
- CNNVD编号:CNNVD-200205-034
- 危害等级: 高危
- CVE编号: CVE-2002-0197
- 漏洞类型: 未知
- 发布时间: 2002-01-23
- 威胁类型: 远程
- 更新时间: 2005-10-12
- 厂 商: psychoid
- 漏洞来源: Brian Rea※ brea@ph...
漏洞简介
psyBNC 是一种IRC bouncer,拥有很多特性,比如在每个聊天频道中加密转输。可以访问 http://www.psychoid.lam3rz.de 了解更多细节。 在psyBNC的加密频道中,所有被加密过的文本行以\"[B]\"开头,当其它人收到这样的文本行后,会试图解密\"[B]\"之后的内容。\"[B]\"总是出现在IRC终端窗口中。当一个非法用户输入以\"[B]\"开头的文本行时,psyBNC试图解密,显然以失败告终,于是只显示\"[B]\",其后为空,这样该频道中的有效用户看不到非法用户的输入。 但是这个非法用户可以在\"[\"之后插入ANSI控制序列,比如打开粗体显示,然后又关闭之,接着是\"B]\"。此时psyBNC认为这不是以\"[B]\"开头的输入,于是跳过了解密处理,该频道中的有效用户将看到非法用户输入的以\"[B]\"开头的文本行。 这个非法用户无法看到有效用户的输入,但可以利用这点进行社会工程学攻击,让其他有效用户认为自己是可信任的有效用户。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 不要随便相信通过psyBNC加密频道中陌生人的消息。 厂商补丁: psychoid -------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.psychoid.lam3rz.de/psyBNC2.3.tar.gz
参考网址
来源: BID 名称: 3931 链接:http://www.securityfocus.com/bid/3931 来源: XF 名称: psybnc-view-encrypted-messages(7985) 链接:http://www.iss.net/security_center/static/7985.php 来源: BUGTRAQ 名称: 20020122 psyBNC2.3 Beta - encrypted text spoofable in others irc terminal 链接:http://online.securityfocus.com/archive/1/251832 来源: BUGTRAQ 名称: 20020122 psyBNC 2.3 Beta - encrypted text "spoofable" in others' irc terminals 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101173478806580&w=2
受影响实体
- Psychoid Psybnc:2.3
补丁
暂无
评论