Uočene su tri sigurnosne ranjivosti u radu programskog paketa Wireshark. Radi se o alatu koji se koristi za nadgledanje mrežnog prometa. Prvi od propusta se javlja zbog pogrešaka u obradi IKE paketa, a napadačima omogućuje izvođenje DoS (eng. Denial of Service) napada. Druga ranjivost se javlja zbog nepoznatih pogrešaka vezanih uz skripte Lua, a omogućuje njihovo proizvoljno pokretanje. Treća ranjivost nastaje zbog pogrešaka u CSN.1 disektoru, a napadačima omogućuje rušenje sustava. Svim se korisnicima savjetuje nadogradnja na ispravljene inačice.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-09-053
Naslov: Otklonjene tri ranjivosti programskog paketa Wireshark
Datum: 2011-09-16
OS: Linux, Free BSD, Solaris, Windows
Programski paket: Wireshark
Tip sigurnosnog problema: DoS napad, proizvoljno pokretanje skripti
Rizik: Velik
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa Wireshark uocena su i otklonjena tri sigurnosna propusta.

Wireshark je alat za analizu mreznog prometa. 

Bitnije od njegovih karakteristika su:

- licenciran je pod GNU GPL licencom,
- napisan je u programskom jeziku C,
- koristi se za analizu i rad s paketima,
- sadrzi mogucnost uvoza i izvoza podataka u druge i iz drugih mreznih analizatora,
- moguce ga je koristiti za administraciju i povecanje sigurnosti racunalne mreze i njenih korisnika i dr.

Vise informacija o navedenom programskom paketu dostupno je na sljedecoj web adresi:

http://www.wireshark.org/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Sigurnosni propusti uoceni u radu programskog paketa Wireshark napadacima omogucuju izvodjenje DoS (eng. Denial of Service) napada te potencijalnu kompromitaciju korisnickog sustava.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na inacice 1.4.9 ili na 1.6.2.  

-------------------------------------------------------------------------------

[4]  Analiza

* Prva od spomenutih ranjivosti javlja se zbog pogresaka u obradi paketa IKE. Napadaci to mogu iskoristiti za uzrokovanje beskonacnih petlji sto dovodi do npr. velike potrosnje resursa i do rusenja sustava.

* Druga uocena ranjivost javlja se zbog nepoznatih pogresaka koje su vezane uz Lua skripte, a napadaci ih mogu iskoristiti za pokretanje proizvoljnih Lua skripti.

* Posljednja uocena ranjivost javlja se zbog pogresaka vezanim uz neinicijaliziranje varijable sa disketorom CSN1. Napadacima omogucuje rusenje sustava.

Ranjivosti su uocene u inacicama 1.6.0 i 1.6.1. Osim toga, pogreske s medjuspremnikom mogu rezultirati rusenjem sustava pri otvaranju datoteka sa zlonamjernim paketima.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrili su:

1) Tim za penetracijsko testiranje NCNIPC iz Kine i
2, 3) proizvodjac

Tekst izvorne preporuke nalazi se na sljedecim web adresama:

http://www.wireshark.org/security/wnpa-sec-2011-13.html
http://www.wireshark.org/security/wnpa-sec-2011-14.html
http://www.wireshark.org/security/wnpa-sec-2011-15.html
http://www.wireshark.org/security/wnpa-sec-2011-16.html
http://archives.neohapsis.com/archives/bugtraq/2011-07/0079.html

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________