低危 Irssi 'buf.pl'本地信息泄露漏洞

CVE编号

CVE-2016-7553

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-02-28

漏洞描述

Irssi是Timo Sirainen用C语言写的一个文本用户界面的IRC客户端程序，她的发布遵循GPL（GNU General Public License）。 Irssi中存在本地信息泄露漏洞，本地攻击者可以利用该漏洞获取敏感信息。

解决建议

目前厂商已发布更新，参考链接如下：https://irssi.org/2016/09/22/buf.pl-update/

参考链接
http://www.openwall.com/lists/oss-security/2016/09/24/1
http://www.openwall.com/lists/oss-security/2016/09/26/4
http://www.securityfocus.com/bid/93155
https://github.com/irssi/scripts.irssi.org/commit/f1b1eb154baa684fad5d65bf4df...
https://irssi.org/security/buf_pl_sa_2016.txt
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	irssi	buf.pl	*		Up to (including) 2.13
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0.8.20-2
	运行在以下环境
	系统	debian_10	irssi	*		Up to (excluding) 0.8.20-2
	运行在以下环境
	系统	debian_11	irssi	*		Up to (excluding) 0.8.20-2
	运行在以下环境
	系统	debian_12	irssi	*		Up to (excluding) 0.8.20-2
	运行在以下环境
	系统	debian_7	irssi	*		Up to (excluding) 0.8.15-5+deb7u1
	运行在以下环境
	系统	debian_8	irssi	*		Up to (excluding) 0.8.17-1+deb8u2
	运行在以下环境
	系统	debian_sid	irssi	*		Up to (excluding) 0.8.20-2
	运行在以下环境
	系统	fedora_23	irssi	*		Up to (excluding) 0.8.20-2.fc23
	运行在以下环境
	系统	fedora_24	irssi	*		Up to (excluding) 0.8.20-2.fc24
	运行在以下环境
	系统	fedora_25	irssi	*		Up to (excluding) 0.8.20-2.fc25
	运行在以下环境
	系统	fedora_EPEL_5	irssi	*		Up to (excluding) 0.8.20-2.el5
	运行在以下环境
	系统	opensuse_Leap_42.1	irssi	*		Up to (excluding) 0.8.20-9.1
	运行在以下环境
	系统	ubuntu_12.04.5_lts	irssi	*		Up to (excluding) 0.8.15-4ubuntu3.1
	运行在以下环境
	系统	ubuntu_14.04.6_lts	irssi	*		Up to (excluding) 0.8.15-5ubuntu3.1
	运行在以下环境
	系统	ubuntu_16.04	irssi	*		Up to (excluding) 0.8.19-1ubuntu1.3
	运行在以下环境
	系统	ubuntu_16.04.7_lts	irssi	*		Up to (excluding) 0.8.19-1ubuntu1.3

阿里云评分 2.9

• 攻击路径 本地
• 攻击复杂度 容易
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型

Exp相关链接

- avd.aliyun.com