BitchX es vulnerable a un ataque de desbordamiento de búfer que permite la ejecución de código arbitrario en la máquina del usuario, con los privilegios del usuario que haya invocado el programa.
BitchX es un cliente de IRC muy popular en el mundo Unix, especialmente en los entornos Linux. Las versiones recientes de BitchX son vulnerables a varios ataques de desbordamiento de búfer, en concreto bajo el comando «invite». El problema se manifiesta cuando un atacante invita a la víctima a un canal con comandos de formato en su nombre.
En el mejor de los casos, el ataque provoca la caída de la conexión IRC del usuario, y en el peor puede permitir la ejecución de código arbitrario en la máquina de la víctima.
Los usuarios que utilicen BitchX deben actualizar su versión enseguida, o bien aplicar los parches correspondientes. Los parches sólo corrigen el problema más grave (el comando «invite»), pero la versión actual del programa soluciona numerosos problemas potenciales tambi’n.
M s informaci¢n:
BitchX
http://www.bitchx.org/
Parches oficiales
ftp://ftp.bitchx.org/pub/BitchX/source
Parches BitchX
http://bitchx.vda.nl/
Parche para BitchX-75p3
ftp://ftp.vda.nl/pub/linux/BitchX/75p3-format.patch
Parche para BitchX 1.0cXX
ftp://ftp.vda.nl/pub/linux/BitchX/format.patch
Jesos Cea Avi¢n
jcea@hispasec.com
