L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Wireshark : déni de service via PCNFSD

Synthèse de la vulnérabilité 

Un attaquant peut envoyer un paquet PCNFSD illicite afin de stopper Wireshark.
Produits vulnérables : Ethereal, Fedora, Mandriva Linux, RHEL, Wireshark.
Gravité de cette faille : 1/4.
Date de création : 22/05/2009.
Références de ce bulletin : BID-35081, CVE-2009-1829, FEDORA-2009-5339, FEDORA-2009-5382, MDVSA-2009:125, RHSA-2009:1100-01, VIGILANCE-VUL-8730, wnpa-sec-2009-03.

Description de la vulnérabilité 

Le produit Wireshark intercepte et affiche des trames réseau.

Le protocole PCNFSD est utilisé pour le partage de fichiers et d'imprimantes. Il est basé sur le protocole ONC/RPC (Open Network Computing Remote Procedure Call, RFC 1832).

La fonction dissect_rpc_opaque_data() de packet-rpc.c utilise la chaîne statique "<EMPTY>" pour indiquer qu'un champ est vide.

Le login et le mot de passe contenus dans un paquet PCNFSD sont encodés à l'aide de XOR. La fonction pcnfsd_decode_obscure() les décode en modifiant le tableau de caractères.

Cependant, si le login ou le mot de passe est vide, la fonction pcnfsd_decode_obscure() cherche à modifier la chaîne statique "<EMPTY>" (qui est en "lecture seule"), ce qui provoque une erreur.

Un attaquant peut donc envoyer un paquet PCNFSD avec un login/password vide afin de stopper Wireshark.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de vulnérabilité informatique concerne les logiciels ou systèmes comme Ethereal, Fedora, Mandriva Linux, RHEL, Wireshark.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte cybersécurité est faible.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client intranet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cet avis de faille.

Solutions pour cette menace 

Wireshark : version 1.0.8.
La version 1.0.8 est corrigée :
  http://www.wireshark.org/

Fedora : nouveaux paquetages wireshark.
De nouveaux paquetages sont disponibles :
  wireshark-1.0.8-1.fc9
  wireshark-1.0.8-1.fc10

Mandriva : nouveaux paquetages wireshark.
De nouveaux paquetages sont disponibles :
  Mandriva Linux 2008.1: wireshark-1.0.8-3.1mdv2008.1
  Mandriva Linux 2009.0: wireshark-1.0.8-3.1mdv2009.0
  Mandriva Linux 2009.1: wireshark-1.0.8-3mdv2009.1
  Corporate 4.0: wireshark-1.0.8-0.1.20060mlcs4

RHEL : nouveaux paquetages wireshark.
De nouveaux paquetages sont disponibles :
Red Hat Enterprise Linux version 3: wireshark-1.0.8-EL3.1
Red Hat Enterprise Linux version 4: wireshark-1.0.8-1.el4_8.1
Red Hat Enterprise Linux version 5: wireshark-1.0.8-1.el5_3.1
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un correctif cyber-sécurité. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.