Wireshark Foundation ha publicado ocho boletines de seguridad que solucionan doce vulnerabilidades en Wireshark. Afectan a las ramas 1.10 y 1.12.
Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes muy popular que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se encuentra disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Los boletines publicados corrigen errores relacionados con diversos disectores, que podrían ser aprovechados para provocar una denegación de servicio, bien por un excesivo consumo de recursos del sistema o causando que la aplicación deje de funcionar.
Se presentan a continuación los boletines, los disectores afectados y el identificador CVE asignado a cada uno de los fallos de seguridad:
- wnpa-sec-2014-12: disector RTP (CVE-2014-6421 y CVE-2014-6422)
- wnpa-sec-2014-13: bucle infinito relacionado con el disector MEGACO (CVE-2014-6423)
- wnpa-sec-2014-14: disector Netflow (CVE-2014-6424)
- wnpa-sec-2014-15: disector CUPS (CVE-2014-6425)
- wnpa-sec-2014-16: bucle infinito relacionado con el disector HIP (CVE-2014-6426)
- wnpa-sec-2014-17: disector RTSP (CVE-2014-6427)
- wnpa-sec-2014-18: disector SES (CVE-2014-6427)
- wnpa-sec-2014-19: cuatro vulnerabilidades relacionadas con el analizador DOS Sniffer (identificadores del CVE-2014-6429 al CVE-2014-6432). Descubiertas por Chaoqiang Zhang (de la Universidad del estado de Oregon, OSU) y Lewis Burns (de HP Fortify).
Todas estas vulnerabilidades podrían ser explotadas a través de la inyección de paquetes manipulados en la red, o convenciendo a un usuario para que abra un fichero de captura de tráfico especialmente manipulado.
Se encuentran afectadas las versiones de la ramas 1.10 y 1.12. Se han publicado las versiones 1.10.10 y 1.12.1, que corrigen todas las vulnerabilidades expuestas, en la página oficial.
Más información:
Download Wireshark
wnpa-sec-2014-12 · RTP dissector crash
wnpa-sec-2014-13 · MEGACO dissector infinite loop
wnpa-sec-2014-14 · Netflow dissector crash
wnpa-sec-2014-15 · CUPS dissector crash
wnpa-sec-2014-16 · HIP infinite loop
wnpa-sec-2014-17 · RTSP dissector crash
wnpa-sec-2014-18 · SES dissector crash
wnpa-sec-2014-19 · Sniffer file parser crash
Juan José Ruiz
Ignacio Agulló dice
Hola, soy el que hace siempre el mismo comentario de Wireshark. Sí, ya sé; resulta predecible. Pero entonces, al menos, es algo con lo que se puede contar en la vida.
Desde el 31 de enero de 2013 en que se publican las actualizaciones de Wireshark 1.8.5 en la rama 1.8 y 1.6.13 en la rama 1.6, la versión de Wireshark en los repositorios de Ubuntu (1.6.7) se convierte en una versión insegura.
Esta actualización de seguridad es la primera de un total de ocho en 2013 y dos más en 2014 sin que la versión disponible en Ubuntu se actualice.
Finalmente, la actualización bianual de Ubuntu LTS 14.04 (lanzada en agosto de 2014, no en abril) incorpora una nueva versión de Wireshark, la 1.10.6… estando ya publicada la actualización de seguridad 1.10.9 y publicándose ahora la 1.10.10; es decir que la versión de Wireshark disponible en los repositorios de Ubuntu sigue siendo insegura desde enero de 2013.
Está claro que con Wireshark, a diferencia de de otros programas como Firefox o Chromium, no se puede confiar con recibir actualizaciones de seguridad a través de los repositorios de Ubuntu. Hay que actualizarlo uno mismo… aunque eso signifique tener que hacerlo ocho veces por año.
Ricardo J. Barberis dice
Ignacio, seguro que Ubuntu no parchea las versiones de wireshark (como lo hace por ej. RedHat) sin actualizar el numero de version?
Por otro lado, veo en un Ubuntu 12.04 que wireshark esta en el repo universe, quizas eso influya en la periodicidad de actualizacion.
Ricardo J. Barberis dice
Bue, termino de publicar esto y se me da por ver el changelog en dicho Ubuntu:
$ zcat /usr/share/doc/wireshark/changelog.Debian.gz | head
wireshark (1.6.7-1) unstable; urgency=low
* New upstream release 1.6.7
– release notes:
http://www.wireshark.org/docs/relnotes/wireshark-1.6.7.html
— Balint Reczey Wed, 11 Apr 2012 15:41:17 +0200
Obviamente no lo actualizan, quizas habria que abrirles un bug report pidiendo que lo eliminen del repositorio si no lo piensan mantener.