Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/04/2011
Denegació de servici en Wireshark
S'han detectat quatre fallades en Wireshark, que poden causar denegació de servei i execució remota de codi en WiresharkWireshark (antigament conegut com Ethereal) és una aplicació d'auditoria orientada a l'anàlisi de tràfic en xarxes. La seua gran popularitat és deguda a les funcionalitats que faciliten l'anàlisi de les captures de tràfic, com la capacitat per a interpretar arxius de captures generats per fins a 20 aplicacions diferents i la gran quantitat de protocols que suporta, actualment més de 480. Wireshark és una eina de programari lliure (subjecte a llicència GPL) i està disponible per a la majoria de sistemes operatius Unix i compatibles, així com Microsoft Windows.
El primer error reportat, que pot fer que l'aplicació deixe de funcionar, està localitzat en l'analitzador de tràfic NFS. Perquè la fallada puga ser explotada, un atacant remot hauria d'enviar, d'un paquet especialment manipulat, a través de la xarxa que està sent monitoritzada, o aconseguir que la víctima potencial utilitze una versió vulnerable de Wireshark per a obrir un arxiu de captura de tràfic, especialment manipulat.
Allò que crida més l’atenció d'aquest cas és que error només està present en la versió de 32 bits, per a la plataforma Windows. La fallada apareix quan certes variables declarades com 'quint8' són interpretades per la funció 'sscanf', utilitzant el format 'hh'. En Linux aquest es correspon amb un char, amb signe o sense ell (en concordança amb l'estàndard C'99), mentre que en la plataforma Windows s'interpreta com int16 i no com int8.
A més, també s'han detectat altres dues fallades en els analitzadors de tràfic X.509if i DECT, que poden ocasionar el tancament de l'aplicació i l'execució remota de codi en múltiples plataformes, respectivament. Aquestes fallades es corregeixen en les versions 1.2.16 i 1.4.5 de Wireshark, publicades el passat 15 d'abril.
Tan sols tres dies després s'ha publicat una nova versió de Wireshark, la 1.4.6 (la branca 1.2.X no està afectada per aquesta fallada), a causa d'un fallada detectada en l'analitzador de tràfic TCP, que pot ocasionar el tancament de l'aplicació.
Sistemes Afectats:Wireshark 1.2.x y 1.4.x
Referències:None
Solució:Descarregar les versions més actualitzades (1.4.6 y 1.2.16) de la web oficial: http://www.wireshark.org/download.html
Notes:http://www.h-online.com/security/news/item/Wireshark-updates-patch-vulnerabilities-1230139.html
http://www.wireshark.org/security/wnpa-sec-2011-05.html
http://www.wireshark.org/security/wnpa-sec-2011-06.html
http://www.wireshark.org/docs/relnotes/wireshark-1.4.6.html
http://www.vupen.com/english/advisories/2011/1022
http://www.hispasec.com/unaaldia/4559