L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Wireshark : huit vulnérabilités

Synthèse de la vulnérabilité 

Plusieurs vulnérabilités de Wireshark permettent à un attaquant distant de mener un déni de service ou de faire exécuter du code.
Produits vulnérables : Debian, Fedora, Mandriva Linux, NLD, OES, openSUSE, RHEL, SLES, Wireshark.
Gravité de cette faille : 2/4.
Nombre de vulnérabilités dans ce bulletin : 8.
Date de création : 02/03/2011.
Date de révision : 09/03/2011.
Références de ce bulletin : BID-46167, BID-46416, BID-46626, BID-46636, BID-46796, CERTA-2011-AVI-125, CERTA-2011-AVI-169, CVE-2011-0538, CVE-2011-0713, CVE-2011-1138, CVE-2011-1139, CVE-2011-1140, CVE-2011-1141, CVE-2011-1142, CVE-2011-1143, DSA-2201-1, FEDORA-2011-2620, FEDORA-2011-2632, MDVSA-2011:044, openSUSE-SU-2011:0347-1, RHSA-2011:0369-01, RHSA-2011:0370-01, RHSA-2012:0509-01, SUSE-SR:2011:007, VIGILANCE-VUL-10416, VU#215900, wnpa-sec-2011-03, wnpa-sec-2011-04.

Description de la vulnérabilité 

Le produit Wireshark intercepte et affiche des trames réseau. De nombreux "dissecteurs" sont proposés pour analyser les protocoles courants. Ils comportent plusieurs vulnérabilités.

Un attaquant peut inviter la victime à ouvrir un fichier pcap-ng illicite avec Wireshark, afin de provoquer une libération de mémoire non initialisée, conduisant à un déni de service et éventuellement à l'exécution de code (VIGILANCE-VUL-10327). [grav:1/4; BID-46167, CERTA-2011-AVI-125, CVE-2011-0538]

Un attaquant peut inviter la victime à ouvrir un fichier pcap-ng illicite avec Wireshark, afin de provoquer un buffer overflow, conduisant à un déni de service et à l'exécution de code. [grav:2/4; CVE-2011-1139]

Un attaquant peut inviter la victime à ouvrir une capture DCT3 avec Wireshark, afin de provoquer un débordement, conduisant à un déni de service ou à l'exécution de code (VIGILANCE-VUL-10374). [grav:1/4; BID-46416, CVE-2011-0713]

Un attaquant peut envoyer un paquet 6LoWPAN, afin de stopper Wireshark sur un système 32 bits. [grav:1/4; BID-46636, CVE-2011-1138, VU#215900]

Un attaquant peut envoyer des paquets LDAP ou SMB provoquant un buffer overflow. [grav:2/4; CVE-2011-1140]

Un attaquant peut employer un filtre LDAP complexe, afin de consommer de nombreuses ressources mémoire. [grav:1/4; CVE-2011-1141]

Un attaquant peut employer une valeur ASN.1 CHOICE pointant sur elle-même, afin de créer une boucle infinie dans le dissecteur BER. [grav:1/4; CVE-2011-1142]

Un paquet NTLMSSP illicite déréférence un pointeur NULL, ce qui stoppe Wireshark. [grav:1/4; BID-46796, CVE-2011-1143]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette faille informatique concerne les logiciels ou systèmes comme Debian, Fedora, Mandriva Linux, NLD, OES, openSUSE, RHEL, SLES, Wireshark.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de vulnérabilité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client intranet.

Ce bulletin concerne 8 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cet avis de faille informatique.

Solutions pour cette menace 

Wireshark : version 1.4.4.
La version 1.4.4 est corrigée :
  http://www.wireshark.org/

Wireshark : version 1.2.15.
La version 1.2.15 est corrigée :
  http://www.wireshark.org/

Debian : nouveaux paquetages wireshark.
De nouveaux paquetages sont disponibles :
  wireshark 1.0.2-3+lenny13
  wireshark 1.2.11-6+squeeze1

Fedora : nouveaux paquetages wireshark.
De nouveaux paquetages sont disponibles :
  wireshark-1.2.15-1.fc13
  wireshark-1.4.4-1.fc14

Mandriva : nouveaux paquetages wireshark.
De nouveaux paquetages sont disponibles :
  Mandriva Linux 2010.0: wireshark-1.2.15-0.1mdv2010.0
  Mandriva Linux 2010.1: wireshark-1.2.15-0.1mdv2010.2
  Corporate 4.0: wireshark-1.2.15-0.1.20060mlcs4
  Mandriva Enterprise Server 5: wireshark-1.2.15-0.1mdvmes5.1

openSUSE : nouveaux paquetages wireshark.
De nouveaux paquetages sont disponibles :
  openSUSE 11.2 : wireshark-1.4.4-0.2.1
  openSUSE 11.3 : wireshark-1.4.4-0.2.1
  openSUSE 11.4 : wireshark-1.4.4-0.3.1

RHEL 4, 5 : nouveaux paquetages wireshark.
De nouveaux paquetages sont disponibles :
  Red Hat Enterprise Linux version 4: wireshark-1.0.15-2.el4
  Red Hat Enterprise Linux version 5: wireshark-1.0.15-1.el5_6.4

RHEL 6.0 : nouveaux paquetages wireshark (22/03/2011).
De nouveaux paquetages sont disponibles :
  wireshark-1.2.15-1.el6_0.1

RHEL 6.2 : nouveaux paquetages wireshark (24/04/2012).
De nouveaux paquetages sont disponibles :
  wireshark-1.2.15-2.el6_2.1

SUSE : nouveaux paquetages (19/04/2011).
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une analyse de vulnérabilité de logiciel. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.