Light Channel Name任意命令可执行漏洞发布时间:2002-08-29 更新时间:2002-08-29 严重程度:中 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:客户机模式 BUGTRAQ ID:5555 受影响系统 Light Light 2.7.30 p4详细描述 Light是免费开放源代码EPIC IRC客户端的IRC脚本,可适用在多种系统平台下。 Light没有正确处理channel名称,如果channel名称中包含恶意代码,当用户加入的时候,就会导致包含在channel名中的恶意代码执行。 测试代码 无 解决方案 升级最新程序: Light Light 2.7.30 p4: Light Upgrade Light-2.7.30p5.tar.gz ftp://ftp.light.canuck.gen.nz/pub/Light/ Debian Upgrade epic4-script-light_2.7.30p5-1.1_all.deb http://security.debian.org/pool/updates/main/e/epic4-script-light/epic4-script-light_2.7.30p5-1.1_all.deb Light Light 2.8 pre9: Light Upgrade Light-2.8pre10.tar.gz ftp://ftp.light.canuck.gen.nz/pub/Light/ 相关信息 J. S. Connell <ankh@canuck.gen.nz>. 参考:http://online.securityfocus.com/advisories/4415 http://online.securityfocus.com/archive/1/288667 |
