CVE-2002-0197
CVSS7.5
发布时间 :2002-05-16 00:00:00
修订时间 :2016-10-17 22:16:58
NMCO    

[原文]psyBNC 2.3 beta and earlier allows remote attackers to spoof encrypted, trusted messages by sending lines that begin with the "[B]" sequence, which makes the message appear legitimate.


[CNNVD]psyBNC非法用户伪造加密信息漏洞(CNNVD-200205-034)

        
        psyBNC 是一种IRC bouncer,拥有很多特性,比如在每个聊天频道中加密转输。可以访问 http://www.psychoid.lam3rz.de 了解更多细节。
        在psyBNC的加密频道中,所有被加密过的文本行以"[B]"开头,当其它人收到这样的文本行后,会试图解密"[B]"之后的内容。"[B]"总是出现在IRC终端窗口中。当一个非法用户输入以"[B]"开头的文本行时,psyBNC试图解密,显然以失败告终,于是只显示"[B]",其后为空,这样该频道中的有效用户看不到非法用户的输入。
        但是这个非法用户可以在"["之后插入ANSI控制序列,比如打开粗体显示,然后又关闭之,接着是"B]"。此时psyBNC认为这不是以"[B]"开头的输入,于是跳过了解密处理,该频道中的有效用户将看到非法用户输入的以"[B]"开头的文本行。
        这个非法用户无法看到有效用户的输入,但可以利用这点进行社会工程学攻击,让其他有效用户认为自己是可信任的有效用户。
        

- CVSS (基础分值)

CVSS分值: 7.5 [严重(HIGH)]
机密性影响: [--]
完整性影响: [--]
可用性影响: [--]
攻击复杂度: [--]
攻击向量: [--]
身份认证: [--]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-0197
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-0197
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200205-034
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=bugtraq&m=101173478806580&w=2
(UNKNOWN)  BUGTRAQ  20020122 psyBNC 2.3 Beta - encrypted text "spoofable" in others' irc terminals
http://online.securityfocus.com/archive/1/251832
(VENDOR_ADVISORY)  BUGTRAQ  20020122 psyBNC2.3 Beta - encrypted text spoofable in others irc terminal
http://www.iss.net/security_center/static/7985.php
(VENDOR_ADVISORY)  XF  psybnc-view-encrypted-messages(7985)
http://www.securityfocus.com/bid/3931
(VENDOR_ADVISORY)  BID  3931

- 漏洞信息

psyBNC非法用户伪造加密信息漏洞
高危 未知
2002-05-16 00:00:00 2005-10-12 00:00:00
远程  
        
        psyBNC 是一种IRC bouncer,拥有很多特性,比如在每个聊天频道中加密转输。可以访问 http://www.psychoid.lam3rz.de 了解更多细节。
        在psyBNC的加密频道中,所有被加密过的文本行以"[B]"开头,当其它人收到这样的文本行后,会试图解密"[B]"之后的内容。"[B]"总是出现在IRC终端窗口中。当一个非法用户输入以"[B]"开头的文本行时,psyBNC试图解密,显然以失败告终,于是只显示"[B]",其后为空,这样该频道中的有效用户看不到非法用户的输入。
        但是这个非法用户可以在"["之后插入ANSI控制序列,比如打开粗体显示,然后又关闭之,接着是"B]"。此时psyBNC认为这不是以"[B]"开头的输入,于是跳过了解密处理,该频道中的有效用户将看到非法用户输入的以"[B]"开头的文本行。
        这个非法用户无法看到有效用户的输入,但可以利用这点进行社会工程学攻击,让其他有效用户认为自己是可信任的有效用户。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 不要随便相信通过psyBNC加密频道中陌生人的消息。
        厂商补丁:
        psychoid
        --------
        目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
        
        http://www.psychoid.lam3rz.de/psyBNC2.3.tar.gz

- 漏洞信息

2032
psyBNC Encrypted Chat Injection

- 漏洞描述

psyBNC 2.3 beta and earlier allows remote attackers to spoof encrypted, trusted messages by sending lines that begin with the "[B]" sequence, which makes the message appear legitimate.

- 时间线

2002-01-22 Unknow
Unknow Unknow

- 解决方案

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站