Vulnerabilidad en "ettercap"

Las versiones de «ettercap» previas a la 0.6.4 son susceptibles a un
desbordamiento de búfer que permite la ejecución de código arbitrario
como administrador o «root».
«ettercap» es un «sniffer», una herramienta que permite capturar y
analizar el tráfico de red. Aunque puede tener muchos usos maliciosos,
resulta extremadamente útil a los administradores de redes, para
diagnóstico de problemas.

Las versiones de «ettercap» previas a la 0.6.4 contienen un
desbordamiento de búfer que puede permitir la ejecución de código
arbitrario en el servidor, en redes cuyo MTU (Maximun Transfer Unit,
tamaño máximo de cada paquete) sea superior a 1500 bytes.

Dado que las redes Ethernet tienen un MTU de 1500 bytes, no se puede
explotar el problema en las LAN más habituales. No obstante un atacante
local puede utilizar el «loopback», interfaz que tiene un MTU de unos
16Kbytes. Se pueden explotar otras tecnologías LAN no ethernet:

MTU Tecnología
65535 Hyperchannel
17914 16 Mbit/sec token ring
8166 Token Bus (IEEE 802.4)
4464 4 Mbit/sec token ring (IEEE 802.5)
1500 Ethernet
1500 PPP (típico, pero varía ampliamente)

La recomendación es actualizar a 0.6.4, que soluciona algunos problemas
de seguridad menores adicionales.

Más información:

Ettercap, remote root compromise
http://www.ngsec.com/docs/advisories/NGSEC-2002-1.txt

Exploit
http://www.ngsec.com/downloads/exploits/ettercap-x.c

ettercap
http://ettercap.sourceforge.net/

29/12/2001 – Vulnerabilidad «ettercap»
http://www.hispasec.com/unaaldia.asp?id=1161

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

• View all posts by Hispasec →
• Blog