Thema: Ethereal verwundbar aus dem Netz

[SiLæncer]

Administratoren, die mit dem Sniffer ethereal ungewöhnliche Pakete im Netzwerk analysieren, könnten selbst das Opfer eines Angriffs werden: Über 50 der eingebauten Protokollanalyse-Module enthalten Fehler, die neben Crashes auch Buffer Overflows und damit das Ausführen fremden Codes zur Folge haben können. Unter den betroffenen Modulen finden sich Exoten wie die für TZSP oder MGCP, aber auch gängigere Protokolle wie SMB oder Radius bereiten ethereal Probleme. Das Entwicklerteam stellt deshalb die fehlerbereinigte Version 0.10.11 zum Download bereit.

Quelle und Links : http://www.heise.de/newsticker/meldung/59332

[SiLæncer]

Das weit verbreitete Standard-Werkzeug zur Analyse von Netzwerk-Paketen Ethereal zeigte sich in einem Security-Audit für zahlreiche Fehler anfällig. Betroffen sind nahezu alle Protokoll-Analyse-Module in den Versionen 0.8.5 bis 0.10.11 der Software. Weiterhin setzt Ethereal die zlib ein, die bis vor kurzem ebenfalls einen schweren Fehler enthielt.

Die Fehler in den einzelnen Protokoll-Analyse-Modulen reichen von einfachen Crashes über Endlosschleifen bis hin zur potenziellen Ausführung von eingeschleustem Code. Ein Angreifer müsste hierfür sorgsam manipulierte Pakete ins Netzwerk schicken beziehungsweise einen Anwender dazu bringen, eine Protokoll-Datei mit einem derartig manipulierten Paket zu analysieren.

Aufgrund der Anzahl und Schwere der Fehler sehen die Ethereal-Entwickler keine sinnvollen Workarounds, sondern empfehlen, auf die Version 0.10.12 umzusatteln, die die im Advisory beschriebenen Lücken schließt. In den Windows-Installer-Paketen kommt nun zlib in Version 1.2.3 zum Einsatz, die ebenfalls fehlerbereinigt ist.

Quelle und Links : http://www.heise.de/newsticker/meldung/62161

[SiLæncer]

Die neue Version 0.10.13 des Netzwerkanalyse-Tools Ethereal behebt mehrere kritische Sicherheitslücken. Einige der Fehler lassen sich nach Einschätzung des französichen Sicherheitsberaters FrSIRT von einem Angreifer zur Ausführung von beliebigen Schadcode nutzen. Andere Fehler können zu Abstürzen und Denial-of-Service (DoS) führen. Anfällig sind alle Versionen bis einschließlich Ethereal 0.10.12. Einen Exploit stellt FrSIRT ebenfalls zur Verfügung.

Die aktuelle Version bringt neben diversen Bugfixes auch neue Features mit. So ist nun beispielsweise eine exaktere Zeiterfassung für eingehende Pakete möglich, sofern die zugrunde liegende Hardware-Plattform dies ausreichend präzise messen kann. Durch eine Erweiterung des PCAP-Formates werden nun Zeitauflösungen im Nanosekunden-Bereich unterstützt. Auch können Capture-Dateien jetzt GZip-komprimiert abgespeichert werden.

Siehe dazu auch:

    * ChangeLog mit allen Neuerungen in Ethereal 0.10.13


Quelle und Links : http://www.heise.de/newsticker/meldung/65153

[SiLæncer]

Ein Programmierfehler in dem freien Analysewerkzeug für Netzwerkverkehr Ethereal lässt sich von einem Angreifer übers Netz für Denial-Of-Service und möglicherweise auch zur Ausführung von beliebigem Schadcode nutzen. Wie aus einem Advisory von iDefense hervorgeht, sind von dem Buffer-Overflow im so genannten Dissector für das Routing-Protokoll Open Shortest Path First (OSPF) alle Versionen bis einschließlich 0.10.12 betroffen.

Nachdem die Ethereal-Entwickler die aktuelle Release 0.10.13 deutlich vor der Kontaktaufnahme durch iDefense am 14.11. veröffentlicht hatten, dürfte sie den Fehler ebenfalls noch enthalten. In der Entwickler-Version auf dem SVN-Server wurde er hingegen am 15. November behoben. Als vorläufiger Workaround empfiehlt sich die Deaktivierung des fehlerhaften OSPF-Dissectors.

Siehe dazu auch:

    * Ethereal OSPF Protocol Dissector Buffer Overflow Vulnerability, Advisory von iDefense

Quelle und Links : http://www.heise.de/newsticker/meldung/67263

[SiLæncer]

Die Version 0.10.14 des Netzwerkverkehr-Analyse-Werkzeugs Ethereal schließt drei Sicherheitslücken, über die Angreifer eingeschmuggelten Code ausführen könnten. Betroffen sind die Protokoll-Analyse-Module für IRC, GTP und OSPF.

Der Fehler im Dissector für das Routing-Protokoll OSPF (Open Shortest Path First) wurde schon vor etwa drei Wochen von iDefense veröffentlicht. Die Verarbeitungsroutinen für das Internet Relay Chat (IRC) und GPRS Tunnelling Protocol (GTP) konnten durch manipulierte Pakete in eine Endlosschleife geraten.

In den Versionen 0.8.20 bis einschließlich 0.10.13 enthält Ethereal fehlerhafte OSPF-Verarbeitungsroutinen. Das GTP-Analyse-Modul ist von der Schwachstelle seit Version 0.9.1 betroffen, die IRC-Analyse war nur in Ethereal 0.10.13 verwundbar.

Siehe dazu auch:

    * Release-Notes zu Ethereal 0.10.14
    * Download von Ethereal 0.10.14


Quelle und Links : http://www.heise.de/newsticker/meldung/67901

[SiLæncer]

Im populären Netzwerk-Sniffer Ethereal haben die Entwickler insgesamt 28 Schwachstellen beseitigt, die das Analysewerkzeug zum Absturz oder zum Ausführen von eingeschmuggeltem Code bringen konnten. Im Rahmen der vom Department of Homeland Security (DHS) gesponserten Quellcode-Überprüfung durch Coverity wurden davon 20 Lücken entdeckt.

Die Fehler betreffen hauptsächlich die Module zur Protokollanalyse. 18 Schwachstellen können zum Absturz von Ethereal führen, über sechs weitere könnten Angreifer eingeschleusten Code zur Ausführung bringen. In den Analysemodulen für die Unlicensed Mobile Access( UMA-) und Basic Encoding Rules (BER-)Protokolle kann der Code in eine Endlosschleife geraten.

Aufgrund der Tragweite der gefundenen Fehler sehen die Ethereal-Entwickler keine alternative Umgehungsweise als ein Upgrade auf die aktuelle Version 0.99.0. Diese steht auf den Servern des Projektes zum Download bereit.

Siehe dazu auch:

    * Releasenotes zur Ethereal-Version 0.99.0
    * Download der aktuellen Ethereal-Versionen

Quelle und Links : http://www.heise.de/security/news/meldung/72326

[SiLæncer]

Ethereal-Entwickler Gerald Combs hat bekanntgegeben, dass er und seine Mitstreiter den Netzwerk-Protokollanalyzer nun unter dem Namen Wireshark weiterentwickeln. Damit wird die erst Ende April freigegebene Version Ethereal 0.99 die letzte auf www.ethereal.com sein. Denn mit dem Namenswechsel zieht auch die gesamte Website des Projets um. Neben der Prerelease Wireshark 0.99.1pre1 sind bereits sämtliche Ressourcen samt Mailingliste, Bugtracker, SVN-Repository und Buildbot unter der neuen Domain wireshark.org zu finden.

In der Ankündigung auf der Ethereal Developer Mailingliste nennt Combs als Grund einen Arbeitgeberwechsel von Ethereal, Inc. in Kansas zu Cace Technologies in Davis, Kalifornien. Erstere haben den Namen Ethereal im Januar 2004 beim United States Patent and Trademark Office als Markenzeichen eintragen lassen.

Combs' neuer Arbeitgeber entwickelt neben einer Sammlung von System-, Security- und Netzwerktools für Windows namens "The Network Toolkit" eine kommerzielle und in Programme integrierbare Variante der Packet Capture Library WinPcap für Windows. Ihre Open-Source-Version verwenden sowohl der Windows-Port von Ethereal/Wireshark als auch der tcpdump-Clone Windump.

Quelle : www.heose.de

[SiLæncer]

Die Netzwerkanalyse-Software Wireshark kann durch manipulierte Pakete aus dem Tritt geraten und dadurch große Mengen Speicher aufbrauchen und abstürzen. Die Schwachstellen befinden sich in den Verarbeitungsroutinen für die Protokolle HTTP, LDAP, XOT, WBXML und MIME Multipart. Außerdem kann das Programm bei aktivierter AirPcap-Unterstützung beim Auswerten von WEP-Schlüsseln abstürzen.

Von den Fehlern betroffen sind Wireshark-Versionen bis einschließlich 0.99.3. Laut der Sicherheitsmeldung der Wireshark-Entwickler soll Version 0.99.4 die Sicherheitslücken schließen – jedoch ist die Version noch nicht verfügbar, lediglich in Fassung 0.99.4pre2 stehen bislang etwa Quellpakete oder Windows-Installer bereit.

Wer nicht auf diese Version aktualisieren kann oder möchte, sollte die anfälligen Analysemodule der betroffenen Protokolle deaktivieren. In der Sicherheitsmeldung geben die Entwickler dazu Hilfestellung.

Siehe dazu auch:

    * Multiple problems in Wireshark (formerly Ethereal®) versions 0.9.8 to 0.99.3, Sicherheitsmeldung der Wireshark-Entwickler

Quelle und Links : http://www.heise.de/security/news/meldung/80202

[SiLæncer]

In Wireshark, dem wohl bekanntesten Programm zum Mitschneiden und Analysieren von Netzwerkverkehr, haben die Entwickler einige Schwachstellen gemeldet. Angreifer aus dem Netz können die Fehler missbrauchen, um Wireshark in Endlosschleifen zu schicken, zum Absturz bringen oder möglicherweise beliebigen Programmcode unterzuschieben. In der Sicherheitsmeldung kündigen sie auch eine fehlerbereinigte Version an, die allerdings noch nicht zur Verfügung steht.

Durch das Analysieren von präparierten MP3-Dateien, NCP-, HTTP- und RPC-Paketen kann Wireshark abstürzen. Die Analysemodule für DNP, Firebird/Interbase, MEGACO, DCP-ETSI und Bluetooth-SDP können durch manipulierte Pakete in eine Endlosschleife geraten und dabei abstürzen oder Systemressourcen aufbrauchen. Über die Auswirkungen der Pufferüberläufe in den Modulen zur SSL-, ANSI-MAP- und PPP-Verkehrsauswertung und zur Analyse von mitgeschnittener iSeries-(OS/400)-Kommunikation schweigen sich die Wireshark-Entwickler indes aus. Das FrSIRT schätzt jedoch, dass Angreifer dadurch in verwundbare Systeme einbrechen können.

Betroffen sind Ethereal- und Wireshark-Versionen zwischen 0.8.16 und 0.99.6(a). Zwar kündigen die Entwickler in ihrer Sicherheitsmeldung eine aktualisierte Version der Software an, diese steht aber bislang noch nicht bereit. Daher empfiehlt sich, bis zur Verfügbarkeit der Version 0.99.7 in der Wireshark-Konfiguration die Analyse mit den betroffenen Modulen zu deaktivieren. Inzwischen sind auf dem Wireshark-Server Pre-Release-Versionen aufgetaucht, die jedoch noch nicht ausführlich getestet und daher nicht als stabil markiert wurden. Bei diesen Versionen ist auch unklar, ob die Fehler korrekt ausgebügelt sind. Wer auf diese Fassungen ausweicht, läuft daher Gefahr, dass die Software instabil läuft und möglicherweise noch Schwachstellen enthält.

Siehe dazu auch:

    * Multiple problems in Wireshark® (formerly Ethereal®) versions 0.8.16 to 0.99.5, Sicherheitsmeldung der Wireshark-Entwickler
    * Download von Pre-Release-Versionen von Wireshark

Quelle und Links : http://www.heise.de/security/news/meldung/99407/Lange-Leitung-in-Wireshark

[SiLæncer]

Das Wireshark-Projekt hat die Version 0.99.7 des quelloffenen Netzwerk-Analyse-Werkzeugs als stabil markiert und freigegeben. Bereits vor knapp einem Monat wurden Sicherheitslücken in mehreren Modulen der Software bekannt, die die neue Version schließt. Angreifer aus dem Netz konnten die Fehler missbrauchen, um die Software in den Vorgängerversionen in Endlosschleifen zu schicken, zum Absturz zu bringen oder möglicherweise beliebigen Programmcode unterzuschieben.

Beim Analysieren von präparierten MP3-Dateien, NCP-, HTTP- und RPC-Paketen konnte Wireshark abstürzen. Manipulierte Pakete konnten die Analysemodule für DNP, Firebird/Interbase, MEGACO, DCP-ETSI und Bluetooth-SDP in eine Endlosschleife schicken, wodurch sie abstürzten oder alle Systemressourcen aufbrauchten. Durch Pufferüberläufe in den SSL-, ANSI-MAP- und PPP-Analysemodulen konnte möglicherweise fremder Programmcode eingeschleust werden.

Nutzer der Software sollten zügig die neue Version herunterladen und installieren. Sofern aktualisierte Pakete von den Linux-Distributoren bereitstehen, sollten diese ebenfalls umgehend eingespielt werden.

Siehe dazu auch:

    * Lange Leitung in Wireshark, Meldung auf heise Security
    * Download der aktuellen Wireshark-Version
    * Wireshark 0.99.7 is now available, Ankündigung der Verfügbarkeit der neuen Version von den Wireshark-Entwicklern

Quelle und Links : http://www.heise.de/security/news/meldung/100805/Netzwerk-Analysator-Wireshark-0-99-7-verfuegbar

[SiLæncer]

In Version 1.0.8 des Netzwerkanalysators Wireshark haben die Entwickler einen Fehler in der Verarbeitung des PCNFSD-Protokolls behoben. Präparierte Pakete können den PCNFSD-Dissektor zum Absturz bringen. Die Entwickler haben den Fehler als sicherheitsrelevant eingestuft. Ein PCNSF-Server ist beispielsweise in Microsoft Windows Services for UNIX enthalten.

Darüber hinaus sind in der neuen Version auch Fehler in der Lua-Integration, sowie dem SCCP- und dem NDMP-Dissektor beseitigt, die in bestimmten Fällen ebenfalls zum Absturz führen können, jedoch nicht sicherheitsrelevant sind. Des Weiteren wurden Fehler bei der Analyse von ASN.1, DICOM,RTCP, SSL und STANAG behoben.

Quelle : www.heise.de