Lange Leitung in Wireshark
Die Entwickler von Wireshark haben Schwachstellen in der Netzwerkschnüffel-Software gemeldet, die Angreifer für Denial-of-Service-Attacken oder möglicherweise zum Einschleusen von Schadcode missbrauchen können.
In Wireshark, dem wohl bekanntesten Programm zum Mitschneiden und Analysieren von Netzwerkverkehr, haben die Entwickler einige Schwachstellen gemeldet. Angreifer aus dem Netz können die Fehler missbrauchen, um Wireshark in Endlosschleifen zu schicken, zum Absturz zu bringen oder möglicherweise beliebigen Programmcode unterzuschieben. In der Sicherheitsmeldung kündigen sie auch eine fehlerbereinigte Version an, die allerdings noch nicht zur Verfügung steht.
Durch das Analysieren von präparierten MP3-Dateien, NCP-, HTTP- und RPC-Paketen kann Wireshark abstürzen. Die Analysemodule für DNP, Firebird/Interbase, MEGACO, DCP-ETSI und Bluetooth-SDP können durch manipulierte Pakete in eine Endlosschleife geraten und dabei abstürzen oder Systemressourcen aufbrauchen. Über die Auswirkungen der Pufferüberläufe in den Modulen zur SSL-, ANSI-MAP- und PPP-Verkehrsauswertung und zur Analyse von mitgeschnittener iSeries-(OS/400)-Kommunikation schweigen sich die Wireshark-Entwickler indes aus. Das FrSIRT schätzt jedoch, dass Angreifer dadurch in verwundbare Systeme einbrechen können.
Betroffen sind Ethereal- und Wireshark-Versionen zwischen 0.8.16 und 0.99.6(a). Zwar kündigen die Entwickler in ihrer Sicherheitsmeldung eine aktualisierte Version der Software an, diese steht aber bislang noch nicht bereit. Daher empfiehlt sich, bis zur Verfügbarkeit der Version 0.99.7 in der Wireshark-Konfiguration die Analyse mit den betroffenen Modulen zu deaktivieren. Inzwischen sind auf dem Wireshark-Server Pre-Release-Versionen aufgetaucht, die jedoch noch nicht ausführlich getestet und daher nicht als stabil markiert wurden. Bei diesen Versionen ist auch unklar, ob die Fehler korrekt ausgebügelt sind. Wer auf diese Fassungen ausweicht, läuft daher Gefahr, dass die Software instabil läuft und möglicherweise noch Schwachstellen enthält.
Siehe dazu auch:
- Multiple problems in Wireshark® (formerly Ethereal®) versions 0.8.16 to 0.99.5, Sicherheitsmeldung der Wireshark-Entwickler
- Download von Pre-Release-Versionen von Wireshark
(dmk)
