lunes, 17 de agosto de 2015

Actualizaciones de seguridad para Wireshark

Wireshark Foundation ha publicado nueve boletines de seguridad que solucionan otras tantas vulnerabilidades en la rama 1.12. 

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

Todos los errores de seguridad corregidos podrían llegar a provocar condiciones de denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados. En esta ocasión las vulnerabilidades afectan al añadir un artículo al árbol de protocolo, al intentar liberar memoria inválida, al buscar un disector de protocolo, al comprobar la longitud de ptvcursor inválido y en los disectores ZigBee, GSM RLC/MAC, WaveAgent, OpenFlow y WCCP.

Las vulnerabilidades se han solucionado en la versión 1.12.7 ya disponible para su descarga desde la página oficial del proyecto.

Más información:

wnpa-sec-2015-29. WCCP dissector crash. Fixed in 1.12.7.

wnpa-sec-2015-28. Ptvcursor crash. Fixed in 1.12.7.

wnpa-sec-2015-27. OpenFlow dissector infinite loop. Fixed in 1.12.7.

wnpa-sec-2015-26. WaveAgent dissector crash. Fixed in 1.12.7.

wnpa-sec-2015-25. GSM RLC/MAC dissector infinite loop. Fixed in 1.12.7.

wnpa-sec-2015-24. ZigBee dissector crash. Fixed in 1.12.7.

wnpa-sec-2015-23. Dissector table crash. Fixed in 1.12.7.

wnpa-sec-2015-22. Memory manager crash. Fixed in 1.12.7.

wnpa-sec-2015-21. Protocol tree crash. Fixed in 1.12.7.




Antonio Ropero

Twitter: @aropero

3 comentarios:

  1. Hola, soy el que hace siempre el mismo comentario sobre Wireshark. Sí, ya sé; resulta predecible. Pero entonces, al menos, es algo con lo que se puede contar en la vida.
    Desde el 31 de enero de 2013 en que "Una al día" informa de las actualizaciones de Wireshark 1.8.5 en la rama 1.8 y 1.6.13 en la rama 1.6, se sabe que la versión de Wireshark en los repositorios de Ubuntu (1.6.7) es una versión insegura.
    Esta actualización de seguridad es la primera de un total de ocho en 2013 y dos más en 2014 sin que la versión disponible en Ubuntu se actualice.
    Finalmente, la actualización bianual de Ubuntu LTS 14.04 (lanzada en agosto de 2014, no en abril) incorpora una nueva versión de Wireshark, la 1.10.6... estando ya publicada la actualización de seguridad 1.10.9 y publicándose después la 1.10.10 y 1.10.11; es decir que se pasa de una versión sabidamente insegura a otra también sabidamente insegura.
    En síntesis, desde enero de 2013 los repositorios de Ubuntu nos vienen ofreciendo versiones de Wireshark sabidamente inseguras.
    A esto hay que añadir que en lo que va de 2015 esta ya es la quinta actualización de seguridad.
    Está claro que con Wireshark, a diferencia de de otros programas como Firefox o Chromium, no se puede confiar con recibir actualizaciones de seguridad a través de los repositorios de Ubuntu. Hay que actualizarlo uno mismo... aunque eso signifique tener que hacerlo hasta ocho veces por año.
    A todo esto añado: Wireshark tiene un problema adicional en GNU/Linux, y es que ejecutado por el usuario no reconoce las interfaces de red. En Ubuntu, para que sí reconozca las interfaces de red hay que ejecutarlo como administrador (root), lo cual no es del todo recomendable. Hay una manera de poder ejecutar las interfaces sin ser como administrador, que es crear un usuario nuevo, asignar la ejecución de Wireshark a ese usuario nuevo, y darlo de alta en el grupo de red... aunque resulta que cada vez que se actualiza Ubuntu se pierde esta modificación y hay que volver a hacerla.

    ResponderEliminar
  2. Hola Ignacio,
    Muchas gracias por tus interesantes y predecibles comentarios.

    ResponderEliminar
  3. me parece estupendo que surja esto a relucir ya que se estaba tan pendiente de los software forenses como infalibles contra intrusiones, pero si alguien busca la manera de trabar al propio software forense y descubre vulnerabilidades esto se va al trasto. asi que si se encuentra huecos en el software forense y se pueden retificar con sus correspondientes actualizaciones subsanando las vulnerabilidades es perfecto...siempre teniendo en cuenta esta advertencia de que todo es vulnerable en algun momento.

    ResponderEliminar