jueves, 18 de septiembre de 2014

Boletines de seguridad para Wireshark

Wireshark Foundation ha publicado ocho boletines de seguridad que solucionan doce vulnerabilidades en Wireshark. Afectan a las ramas 1.10 y 1.12.

Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes muy popular que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se encuentra disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

Los boletines publicados corrigen errores relacionados con diversos disectores, que podrían ser aprovechados para provocar una denegación de servicio, bien por un excesivo consumo de recursos del sistema o causando que la aplicación deje de funcionar.

Se presentan a continuación los boletines, los disectores afectados y el identificador CVE asignado a cada uno de los fallos de seguridad:

  • wnpa-sec-2014-12: disector RTP (CVE-2014-6421 y CVE-2014-6422)
        
  • wnpa-sec-2014-13: bucle infinito relacionado con el disector MEGACO (CVE-2014-6423)
         
  • wnpa-sec-2014-14: disector Netflow (CVE-2014-6424)
         
  • wnpa-sec-2014-15: disector CUPS (CVE-2014-6425)
        
  • wnpa-sec-2014-16: bucle infinito relacionado con el disector HIP (CVE-2014-6426)
         
  • wnpa-sec-2014-17: disector RTSP (CVE-2014-6427)
         
  • wnpa-sec-2014-18: disector SES (CVE-2014-6427)
         
  • wnpa-sec-2014-19: cuatro vulnerabilidades relacionadas con el analizador DOS Sniffer (identificadores del CVE-2014-6429 al CVE-2014-6432). Descubiertas por Chaoqiang Zhang (de la Universidad del estado de Oregon, OSU) y Lewis Burns (de HP Fortify).


Todas estas vulnerabilidades podrían ser explotadas a través de la inyección de paquetes manipulados en la red, o convenciendo a un usuario para que abra un fichero de captura de tráfico especialmente manipulado.

Se encuentran afectadas las versiones de la ramas 1.10 y 1.12. Se han publicado las versiones 1.10.10 y 1.12.1, que corrigen todas las vulnerabilidades expuestas, en la página oficial.

Más información:

Download Wireshark

wnpa-sec-2014-12 · RTP dissector crash

wnpa-sec-2014-13 · MEGACO dissector infinite loop

wnpa-sec-2014-14 · Netflow dissector crash

wnpa-sec-2014-15 · CUPS dissector crash

wnpa-sec-2014-16 · HIP infinite loop

wnpa-sec-2014-17 · RTSP dissector crash

wnpa-sec-2014-18 · SES dissector crash

wnpa-sec-2014-19 · Sniffer file parser crash




Juan José Ruiz

3 comentarios:

  1. Hola, soy el que hace siempre el mismo comentario de Wireshark. Sí, ya sé; resulta predecible. Pero entonces, al menos, es algo con lo que se puede contar en la vida.
    Desde el 31 de enero de 2013 en que se publican las actualizaciones de Wireshark 1.8.5 en la rama 1.8 y 1.6.13 en la rama 1.6, la versión de Wireshark en los repositorios de Ubuntu (1.6.7) se convierte en una versión insegura.
    Esta actualización de seguridad es la primera de un total de ocho en 2013 y dos más en 2014 sin que la versión disponible en Ubuntu se actualice.
    Finalmente, la actualización bianual de Ubuntu LTS 14.04 (lanzada en agosto de 2014, no en abril) incorpora una nueva versión de Wireshark, la 1.10.6... estando ya publicada la actualización de seguridad 1.10.9 y publicándose ahora la 1.10.10; es decir que la versión de Wireshark disponible en los repositorios de Ubuntu sigue siendo insegura desde enero de 2013.
    Está claro que con Wireshark, a diferencia de de otros programas como Firefox o Chromium, no se puede confiar con recibir actualizaciones de seguridad a través de los repositorios de Ubuntu. Hay que actualizarlo uno mismo... aunque eso signifique tener que hacerlo ocho veces por año.

    ResponderEliminar
  2. Ignacio, seguro que Ubuntu no parchea las versiones de wireshark (como lo hace por ej. RedHat) sin actualizar el numero de version?

    Por otro lado, veo en un Ubuntu 12.04 que wireshark esta en el repo universe, quizas eso influya en la periodicidad de actualizacion.

    ResponderEliminar
  3. Bue, termino de publicar esto y se me da por ver el changelog en dicho Ubuntu:

    $ zcat /usr/share/doc/wireshark/changelog.Debian.gz | head
    wireshark (1.6.7-1) unstable; urgency=low

    * New upstream release 1.6.7
    - release notes:
    http://www.wireshark.org/docs/relnotes/wireshark-1.6.7.html

    -- Balint Reczey Wed, 11 Apr 2012 15:41:17 +0200


    Obviamente no lo actualizan, quizas habria que abrirles un bug report pidiendo que lo eliminen del repositorio si no lo piensan mantener.

    ResponderEliminar