Fish多个远程缓冲区溢出漏洞

FiSH是很多流行的irc客户端所使用的用于实现加密的插件。

FiSH的xchat插件实现上存在多个缓冲区溢出漏洞，远程攻击者可能利用这些漏洞控制用户机器。

FiSH的xchat插件代码在处理入站数据时会注册4个函数：

xchat_hook_server(ph, "PRIVMSG", XCHAT_PRI_NORM, decrypt_incoming, 0);
xchat_hook_server(ph, "NOTICE", XCHAT_PRI_NORM, notice_received, 0);
xchat_hook_server(ph, "TOPIC", XCHAT_PRI_NORM, decrypt_incoming, 0);
xchat_hook_server(ph, "NICK", XCHAT_PRI_NORM, nick_changed, 0);
xchat_hook_server(ph, "332", XCHAT_PRI_NORM, decrypt_topic_332, 0);

在所有这些函数中：

int decrypt_incoming(char *word[], char *word_eol[], void *userdata)
{
unsigned char *msg_ptr, contactName[100]="", from_nick[50], msg_event[100]="",

psyNetwork[12];
…
if(word[1][0] == ‘:’) ExtractRnick(from_nick, word[1]);
…
}

这里ExtractRnick()执行的是:

int ExtractRnick(char *Rnick, char *incoming_msg)
{
int k=0;

if(*incoming_msg == ‘:’) incoming_msg++;

while(*incoming_msg!=‘!’ && *incoming_msg!=0) {
Rnick[k]=*incoming_msg;
incoming_msg++;
k++;
}
Rnick[k]=0;

if (*Rnick < ‘0’) return FALSE;
else return TRUE;
}

由于word[1]来自用户，因此可能出现栈溢出。其他3个函数也存在类似问题：

int notice_received(char *word[], char *word_eol[], void *userdata)
{
unsigned int i;
unsigned char hisPubKey[300], contactName[25]="", from_nick[25]="";
…
if(ExtractRnick(from_nick, word[1])==0) return XCHAT_EAT_NONE;
…
}

int nick_changed(char *word[], char *word_eol[], void *userdata)
{
unsigned char contactName[100]="", theKey[500]="", ini_nicktracker[10];
…
if( *ini_nicktracker==‘0’ || *ini_nicktracker==‘N’ || *ini_nicktracker==‘n’ ||
(ExtractRnick(contactName, word[1])==0) ||
(stricmp(contactName, word[3]+1)==0))
return XCHAT_EAT_NONE;
…
}

int decrypt_topic_332(char *word[], char *word_eol[], void *userdata)
{
unsigned char contactName[100]="";
…
strcpy(contactName, word[4]);
…
}

FiSH FiSH for XChat 0.98
FiSH FiSH for mIRC 1.29
FiSH FiSH for irssi 0.99
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

<a href=“http://fish.sekure.us/” target=“_blank”>http://fish.sekure.us/</a>