Wireshark GSS-API szolgáltatás megtagadásos sérülékenysége

CH azonosító: CH-14557
Cím: Wireshark GSS-API szolgáltatás megtagadásos sérülékenysége
Angol cím: Wireshark GSS-API Dissector Denial of Service Vulnerabiity

Publikálás dátuma: 2019.04.12.
Utolsó módosítás dátuma: 2019.04.12.


Leírás

A Wireshark riasztást adott ki a CVE-2019-10894 sérülékenységgel kapcsolatos, termékeit érintő Wireshark GSS-API komponenssel kapcsolatban


Leírás utolsó módosítása: 2019.04.12.


Elemzés leírás

Magas kockázati besorolású sérülékenységet találtak a Wireshark GSS-API (Generic Security Service Application Program Interface) “dissector” komponensében, melyet kihasználva a nem hitelesített, távoli támadók túlterhelhetik a célrendszert, melyben szolgáltatás megtagadásos állapot alakul ki (DoS). A hiba az érintett szoftverekben található epan/dissectors/packet-gssapi.c nem megfelelő hívásai miatt alakul ki. A támadók ezt a hibát úgy használhatják ki, hogy egy speciálisan szerkesztett csomagot injektálnak a hálózati forgalomba, melyet az éreintett szoftverek feldolgoznak. A sikeres támadás, szolgáltatás megtagadásos állapotot idéz elő a célrendszerben. A hiba kihasználására írt bizonyítás (Proof-of-Concept) nyílt formában elérhető. A gyártó igazolta a hibát, és közzétette a javítócsomagokat.

Érintett Verziók:
– Wireshark 2.4 (.0, .1, .2, .3, .4, .5, .6, .7, .8, .9, .10, .11, .12, .13) | 2.6 (.0, .1, .2, .3, .4, .5, .6, .7) | 3.0 (.0)

Javasolt megoldás: Frissítsen a legfrissebb verzióra


Elemzés leírás utolsó módosítása: 2019.04.12.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 7.5
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Hatás pontszáma: 3.6
Kihasználhatóság pontszáma: 3.9


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: 5.0
Vektor: AV:N/AC:L/Au:N/C:N/I:N/A:P
Hatás alpontszáma: 2.9
Kihasználhatóság alpontszáma: 10


Hozzáférés Vektora (AV): Hálózat
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (S): Nincs
Rendelkezésre állás Hatása (A): Rész