Security Lab

Обход ограничений безопасности в irssi Music Announcement сценариях

Дата публикации:16.08.2007
Всего просмотров:2006
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: CVE-2007-4396
CVE-2007-4398
CVE-2007-4399
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: xmms.bx for BitchX 1.x
Уязвимые версии:
ixmmsa.pl версия 0.3
l33tmusic.pl версия 2.00
mpg123.pl версия 0.01
ogg123.pl версия 0.01
xmms.pl версия 2.0
xmms2.pl версия 1.1.3
xmmsinfo.pl версия 1.1.1.1

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за того, что приложение некорректно фильтрует id3 теги перед отправкой их серверу. Злоумышленник может обманом заставить пользователя проиграть или анонсировать специально сформированный MP3 файл и послать произвольные команды серверу.

URL производителя: irssi.org/scripts/

Решение: Установите исправленную версию с сайта производителя.