Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
Toutes les versions de Ethereal comprises entre les versions (incluses) 0.8.13 et 0.10.2.
Résumé
Plusieurs vulnérabilités dans Ethereal permettent à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire sur une plate-forme utilisant une version vulnérable d'Ethereal.
Description
Ethereal est un renifleur réseau. Il permet l'analyse de données depuis le réseau ou à partir d'un fichier. Un utilisateur mal intentionné, composant judicieusement un fichier destiné à être lu par Ethereal ou injectant un paquet malicieusement construit sur le réseau, peut exploiter une des vulnérabilités afin de réaliser un déni de service sur la plate-forme utilisant une version vulnérable d'Ethereal.
Solution
Mettre à jour Ethereal en version 0.10.3, soit par la compilation des sources, soit par l'application du correctif fournit par l'editeur.
-
Site internet de téléchargement de Ethereal :
http://www.ethereal.com/download -
Bulletin de sécurité GLSA 200403-07 de Gentoo :
http://www.securityfocus.com/advisories/6482 -
Bulletin de sécurité MDKSA-2004:024 de Mandrake :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:024 -
Bulletin de sécurité RHSA-2004:136 de Red Hat :
http://rhn.redhat.com/errata/RHSA-2004-136.html -
Bulletin de sécurité RHSA-2004:137 de RedHat :
http://rhn.redhat.com/errata/RHSA-2004-137.html -
Bulletin de sécurité SUSE SuSE-SA:2004:012 du 14 mai 2004 :
http://www.suse.com/de/security/2004_12_mc.html -
Bulletin de sécurité Debian DSA-511 du 30 mai 2004 :
http://www.debian.org/security/2004/dsa-511 -
Bulletin de sécurité FreeBSD du 29 mars 2004 :
http://www.vuxml.org/freebsd
Documentation
- Avis de sécurité Ethereal enpa-sa-00013 du 22 mars 2004 : http://www.ethereal.com/appnotes/enpa-sa-00013.html
- Avis de sécurité e-matters du 23 mars 2004 : http://security.e-matters.de/advisories/032004.html
- Site internet de Ethereal : http://www.ethereal.com
