Se reportarón varias vulnerabilidades en Ethereal, que pueden explotarse para ocasionar una negación de servicio (DoS) o comprometer un sistema vulnerable.
Ethereal Security Advisory
enpa-sa-00021
ethereal | <= | 0.10.12 |
ethereal | >= | 0.7.7 |
Se reportarón varias vulnerabilidades en Ethereal, que pueden explotarse por personas maliciosas para ocasionar una negación de servicio (DoS) o comprometer un sistema vulnerable.
Varios analizadores de protocolos presentan una variedad de errores incluyendo: falta de verificación en el apuntador al utilizar un apuntador NULL, división entre cero, ciclos infinitos, errores al controlar los límites de la memoria, entre otros.
Un error en el manejo de los límites de la memoria dentro de la función "unicode_to_bytes()" del analizador SRVLOC (Service Location Protocol), puede explotarse para ocasionar un desbordamiento de memoria via un paquete TCP malicioso que tenga los puertos fuente y destino a 427/TCP.
La ventana de instalación de Ethereal contiene una versión vulnerable de la biblioteca PCRE.
Una explotación exitosa ocasionara que Ethereal deje de responder, se agote la memoria del sistema, una caida abrupta, o la ejecución de código arbitrario.
Las vulnerabilidades fueron reportadas de la versión 0.7.7 a la 0.10.12.
Negación de servicio (DoS)
Acceso al sistema.
Actualizar a la versión 0.10.13.
http://www.ethereal.com/download.html
Mayor información.
http://www.ethereal.com/appnotes/enpa-sa-00021.htmlLa Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT