miércoles, 7 de enero de 2015

Actualizaciones de seguridad para Wireshark

Wireshark Foundation ha publicado cinco boletines de seguridad que solucionan un total de seis vulnerabilidades en las ramas 1.10 y 1.12.

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

Todos los errores de seguridad corregidos podrían llegar a provocar condiciones de denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados.

Las vulnerabilidades residen en el disector 'WCCP' (CVE-2015-0559 y CVE-2015-0560), en el disector 'LPP' (CVE-2015-0561), en el disector del protocolo de rutado 'DEC DNA' (CVE-2015-0562), en el disector 'SMTP' (CVE-2015-0563) y un problema en el tratamiento de sesiones SSL/TLS (CVE-2015-0564).

Las vulnerabilidades se han solucionado en las versiones 1.10.12 y 1.12.3 ya disponibles para su descarga desde la página oficial del proyecto.

Más información:

wnpa-sec-2015-01 · WCCP dissector crash

wnpa-sec-2015-02 · LPP dissector crash

wnpa-sec-2015-03 · DEC DNA Routing Protocol dissector crash

wnpa-sec-2015-04 · SMTP dissector crash

wnpa-sec-2015-05 · TLS/SSL decryption crash


Antonio Ropero
Twitter: @aropero




6 comentarios:

  1. Hola, soy el que hace siempre el mismo comentario sobre Wireshark. Sí, ya sé; resulta predecible. Pero entonces, al menos, es algo con lo que se puede contar en la vida.
    Desde el 31 de enero de 2013 en que se publican las actualizaciones de Wireshark 1.8.5 en la rama 1.8 y 1.6.13 en la rama 1.6, la versión de Wireshark en los repositorios de Ubuntu (1.6.7) se convierte en una versión insegura.
    Esta actualización de seguridad es la primera de un total de ocho en 2013 y dos más en 2014 sin que la versión disponible en Ubuntu se actualice.
    Finalmente, la actualización bianual de Ubuntu LTS 14.04 (lanzada en agosto de 2014, no en abril) incorpora una nueva versión de Wireshark, la 1.10.6... estando ya publicada la actualización de seguridad 1.10.9 y publicándose después la 1.10.10 y 1.10.11; es decir que se pasa de una versión insegura a otra que también es insegura. En síntesis, desde enero de 2013 los repositorios de Ubuntu nos vienen ofreciendo versiones de Wireshark inseguras.
    Está claro que con Wireshark, a diferencia de de otros programas como Firefox o Chromium, no se puede confiar con recibir actualizaciones de seguridad a través de los repositorios de Ubuntu. Hay que actualizarlo uno mismo... aunque eso signifique tener que hacerlo hasta ocho veces por año.
    P.S.:No hay manera humana de publicar comentarios en esta bitácora desde Mozilla Firefox. Antes pensaba que era debido a que uso Firefox con el complemento NoScript, pero he hecho la prueba reiniciando Firefox con los complementos desactivados y el comentario se pierde una vez más. Hay que utilizar otro navegador para publicar comentarios. Tras fracasar Mozilla Firefox una vez más envío el comentario desde Google Chromium, siempre sobre GNU/Linux Ubuntu.

    ResponderEliminar
  2. Hola,
    Gracias por tus comentarios, que aunque predecibles (como dices) no dejan de ser interesantes.
    No se cual es el problema con Firefox, este mismo comentario está publicado con Firefox.
    ¿Te importaría enviarnos al correo más detalles sobre tu entorno y los pasos que realizas para publicar comentarios?
    Gracias.

    ResponderEliminar
  3. Pues te comento, Antonio...: mis comentarios realizados con Mozilla Firefox se pierden no sólo en Hispasec sino en general en las bitácoras basadas en Blogger. Tras introducir el comentario no llega a mostrarse el recuadro verificador de humanidad (o sea, CAPTCHA). Esto sucede tanto desde GNU/Linux como desde Windows NT. La lista de complementos es la que sigue...:
    Extensiones: Abduction!, British English Dictionary, Corrector de Galego, Diccionario de Español/España, Dictionary Switcher, Dictionnaire français "Classique & Réforme 1990", Download Helper, Firebug, Firefox OS Simulator, Flagfox, Greasemonkey, HTTPS-Everywhere, NoScript, Quick Locale Switcher, Web Developer... y en Ubuntu además Ubuntu Firefox Modifications, Ubuntu Online Accounts, Unity Desktop Integration, Unity Websites Integration.
    -Añadidos: OpenH264 Video Codec provided by Cisco Systems, Inc., Shockwave Flash, Adobe Reader, DivX Browser Plug-In, DivX Web Player, Gnome Shell Integration, Google Talk Plugin,Google Talk Plugin Video Accelerator, Google Talk Plugin Video Renderer, IcedTea-Web Plugin, iTunes Application Detector, mplayerplug-in is now gecko-mediaplayer, QuickTime Plug-in, RealPlayer, VLC Multimedia Plugin, Windows Media Player Plug-in.
    Reitero lo que decía en mi comentario anterior: durante un tiempo pensé que tenía que ver con NoScript, pero el problema sucede incluso cuando usaba la opción de reiniciar el navegador con los complementos desactivados.

    ResponderEliminar
  4. Probando a publicar comentario desde Mozilla Firefox sobre GNU/Linux Ubuntu por el método de Nombre/URL tras utilizar la opción de reiniciar con los complementos desactivados y además reiniciar Firefox. A lo cual añado: tras hacer clic en "Publicar" esta vez se me ha mostrado el verificador de humanidad (CAPTCHA), cosa que nunca sucedía antes. Tras pasar el verificador de humanidad con éxito, reedito mi comentario antes darle por segunda y definitiva vez a "Publicar".

    ResponderEliminar
  5. Este comentario lo publico desde Google Chromium sobre GNU/Linux Ubuntu porque, francamente, ya estoy hasta las narices de Mozilla Firefox por hoy.

    ¿Qué es lo que hemos aprendido hoy? Que el problema para publicar comentarios desde Mozilla Firefox -recordemos, tanto desde Windows NT como desde GNU/Linux- está relacionado con mi particular instalación de Mozilla Firefox y -probablemente- con las diecinueve extensiones que le instalo tanto en un sistema operativo como en el otro, con escasa variación.

    Otro día con más paciencia se puede hacer una particular labor de investigación para averiguar qué extensión es la culpable, igual que en su momento tuve que investigar cuál era la extensión que provocaba que la pantalla de error de "Servidor no encontrado" fuese sustituida por una antiestética pantalla amarilla con el indeseado e inexplicable mensaje "XML Parsing error: mismatched tag". Al igual que ahora, el error se producía en ambos sistemas operativos; y supongo que al igual que ahora, una extensión era la causante, en aquel caso era la dupla de extensiones del mismo autor "Bandwidth Meter and Diagnostics" (GNU/Linux) / "Broadband Speed Test and Diagnostics" (WIndows NT) (si ambas hacen lo mismo, no sé por qué narices tienen que tener distinto nombre).

    ResponderEliminar
  6. Este comentario también lo publico desde Google Chromium sobre GNU/Linux Ubuntu porque sigo hasta las narices de Mozilla Firefox.

    A mis comentarios anteriores añado... ¡Atención, peligro, usuarios de Mozilla Firefox!

    Dentro del menú de "Ayuda" de Mozilla Firefox está la opción "Reiniciar con los complementos desactivados..." que permite hacer eso, reiniciar Firefox con los complementos desactivados, donde "reiniciar" significa "cerrar y volver a abrir". Esta opción, por sí sola, no evitaba mis problemas; supongo que debe haber una extensión problemática que altera la configuración de Firefox al instalarse, de manera que provoca problemas que no desaparecen aún desactivándola.

    Pero la opción "Reiniciar con los complementos desactivados...", como su título indica a través de los puntos suspensivos, muestra una caja de diálogo antes de ejecutarse, y esa caja de diálogo ofrece además, la posibilidad de reiniciar Firefox. Sí, reiniciar también, pero esta vez no reiniciar de
    "cerrar y volver a abrir" sino reiniciar de "crear un nuevo perfil de usuario e intentar transferirle la configuración del viejo", donde intentar tiene un significado que no se encuentra en la dupla "Hazlo o no lo hagas". Yoda no trabaja en la Corporación Mozilla. Pues bien, probé la posibilidad de "Reiniciar Firefox"...

    ...y todas mis extensiones desaparecieron, aunque conservaba mis marcadores. No fue un "hazlo", ni tampoco un "no lo hagas" sino más bien un "no dio más de sí". Fue entonces cuando conseguí por fin publicar un comentario en esta página desde Firefox. Pero, aunque cerrase y volviese a abrir, mis diecinueve extensiones no regresaban. Intenté usar el gestor de perfiles de Firefox, pero sólo encontraba un perfil. ¿Porqué, si se había creado un perfil enteramente nuevo, no se conservaba el viejo? En ese momento fue cuando se produjeron los vituperios varios, dirigidos principalmente a los antepasados de los desarrolladores de la Corporación Mozilla.

    ¿Qué había sucedido? Sí, efectivamente, Firefox había creado una nueva carpeta de perfil conservando la carpeta vieja. Pero en vez de añadir un nuevo perfil a la lista, había editado el perfil preexistente para redirigirlo a la carpeta nueva. De manera que el perfil viejo se conservaba (y además se había creado en el escritorio una carpeta llamada "Old Firefox Data" con una copia del mismo), pero no había forma de acceder a él. ¿Qué hubo que hacer? Pues editar manualmente el fichero profiles.ini y cambiar la ruta de acceso al perfil.

    Espero que este peligroso proceder de "Reiniciar Firefox" se corrija, bien en la nueva versión 35 o si no en la siguiente.

    ResponderEliminar