Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/04/2011
Denegación de servicio en Wireshark
Se han detectado cuatro fallos en Wireshark, que pueden causar denegación de servicio y ejecución remota de código en WiresharkWireshark (antiguamente conocido como Ethereal) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su gran popularidad es debida a las funcionalidades que facilitan el análisis de las capturas de tráfico, como la capacidad para interpretar archivos de capturas generados por hasta 20 aplicaciones diferentes y la gran cantidad de protocolos que soporta, actualmente más de 480. Wireshark es una herramienta de software libre (sujeto a licencia GPL) y está disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
El primer error reportado, que puede hacer que la aplicación deje de funcionar, está localizado en el analizador de tráfico NFS. Para que el fallo pueda ser explotado, un atacante remoto debería enviar de un paquete especialmente manipulado a través de la red que está siendo monitorizada o conseguir que la potencial víctima utilice una versión vulnerable de Wireshark para abrir un archivo de captura de tráfico especialmente manipulado.
Lo llamativo de este caso es que error solamente está presente en la versión de 32 bits para la plataforma Windows. El fallo aparece cuando ciertas variables declaradas como 'quint8' son interpretadas por la función 'sscanf' utilizando el formato 'hh'. En Linux éste se corresponde con un char con signo o sin él (en concordancia con el estándar C'99), mientras que en la plataforma Windows se interpreta como int16 y no como int8.
Además, también se ha detectado otros dos fallos en los analizadores de tráfico X.509if y DECT que pueden ocasionar el cierre de la aplicación y la ejecución remota de código en múltiples plataformas, respectivamente. Estos fallos se corrigen en las versiones 1.2.16 y 1.4.5 de Wireshark, publicadas el pasado 15 de abril.
Tan solo tres días después se ha publicado una nueva versión de Wireshark, la 1.4.6 (la rama 1.2.x no está afectada por este fallo), debido a un fallo detectado en el analizador de tráfico TCP que puede ocasionar el cierre de la aplicación.
Sistemas Afectados:Wireshark 1.2.x y 1.4.x
Referencias:None
Solución:Descargar las versiones más actualizadas (1.4.6 y 1.2.16) de la web oficial: http://www.wireshark.org/download.html
Notas:http://www.h-online.com/security/news/item/Wireshark-updates-patch-vulnerabilities-1230139.html
http://www.wireshark.org/security/wnpa-sec-2011-05.html
http://www.wireshark.org/security/wnpa-sec-2011-06.html
http://www.wireshark.org/docs/relnotes/wireshark-1.4.6.html
http://www.vupen.com/english/advisories/2011/1022
http://www.hispasec.com/unaaldia/4559