Risque

  • Déni de service ;
  • exécution de code arbitraire à distance.

Systèmes affectés

Toutes les versions d'Ethereal comprises entre les versions 0.8.15 et 0.10.4 (incluses).

Résumé

Trois vulnérabilités dans Ethereal permettent à un utilisateur mal intentionné de créer un déni de service ou d'exécuter du code arbitraire sur une plate-forme utilisant une version vulnérable d'Ethereal.

Description

Ethereal est un renifleur réseau. Il permet l'analyse de données depuis le réseau ou à partir d'un fichier.
Un utilisateur mal intentionné, composant judicieusement un fichier destiné à être lu par Ethereal ou injectant un paquet malicieusement construit sur le réseau, peut exploiter une de ces vulnérabilités afin de réaliser un déni de service ou exécuter à distance du code arbitraire sur la plate-forme utilisant une version vulnérable d'Ethereal.

Contournement provisoire

Dans l'attente de l'application du correctif, désactiver les protocoles suivants : iSNS, SMB et SNMP.

Solution

Installer la version 0.10.5 d'Ethereal.
Ethereal est téléchargeable à l'adresse suivante :

http://www.ethereal.com/download.html

Documentation