Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 février 2008

N° CERTA-2008-AVI-108

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Wireshark

Gestion du document

Référence	CERTA-2008-AVI-108
Titre	Vulnérabilités dans Wireshark
Date de la première version	28 février 2008
Date de la dernière version	25 mars 2008
Source(s)	Bulletin de sécurité Wireshark wnpa-sec-2008-01 du 27 février 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service à distance

Systèmes affectés

Wireshark 0.99.7 et versions antérieures

Résumé

Plusieurs vulnérabilités découvertent dans Wireshark permettent à un utilisateur distant malintentionné de provoquer un déni de service à distance.

Description

Plusieurs vulnérabilités dans les modules d'analyse des protocoles SCTP, SNMP et TFTP (uniquement sous les distributions Ubuntu 7.10) permettent à un utilisateur distant de provoquer un déni de service soit par un arrêt inopiné soit par consommation excessive de la mémoire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Gentoo GLSA-200803-32 du 24 mars 2008 :

http://www.gentoo.org/security/en/glsa/glsa-200803-32.xml

Bulletin de sécurité Mandriva MDVSA-2008:057 03 mars 2008 :

http://www.mandriva.com/en/security/advisories?name=MDVSA-2008:057

Bulletin de sécurité SuSE SUSE-SR:2008:005 du 06 mars 2008 :

http://lists.opensuse.org/opensuse-security-announce/2008-03/msg00001.html

Bulletin de sécurité Wireshark wnpa-sec-2008-01 du 27 février 2008 :

http://www.wireshark.org/security/wnpa-sec-2008-01.html

Mise à jour de sécurité pour Wireshark version 0.99.7 :

http://www.wireshark.org/download.html

Gestion détaillée du document

le 28 février 2008: version initiale.
le 25 mars 2008: ajout des références aux bulletins de sécurité Gentoo, Mandriva et SuSE.