Boletines de seguridad para Wireshark

Wireshark Foundation ha publicado boletines de seguridad que solucionan
cinco vulnerabilidades en Wireshark. Afectan a las ramas 1.10 y 1.8.

Wireshark es una aplicación de auditoría orientada al análisis de
tráfico en redes muy popular que soporta una gran cantidad de protocolos
y es de fácil manejo. Además Wireshark es software libre (sujeto a
licencia GPL) y se encuentra disponible para la mayoría de sistemas
operativos Unix y compatibles, así como Microsoft Windows.

Los boletines publicados corrigen errores relacionados con diversos
disectores, que podrían ser aprovechados para provocar una denegación
de servicio, bien por un excesivo consumo de recursos del sistema o
causando que la aplicación deje de funcionar.

Se presentan a continuación los boletines, los disectores afectados y
el identificador CVE asignado a cada uno de los fallos de seguridad:

* wnpa-sec-2013-61: error en el disector IEEE 802.15.4 (CVE-2013-6336).

* wnpa-sec-2013-62: error en el disector NBAP descubierto por Laurent
Butti (CVE-2013-6337).

* wnpa-sec-2013-63: error en el disector SIP (CVE-2013-6338).

* wnpa-sec-2013-64: error de bucle infinito en el disector OpenWire, que
causaría un elevado consumo de resursos (CVE-2013-6339). Descubierto por
Murali.

* wnpa-sec-2013-65: error en el disector TCP (CVE-2013-6340).

Todas estas vulnerabilidades podrían ser explotadas a través de la
inyección de paquetes manipulados en la red, o convenciendo a un usuario
para que abra un fichero de captura de tráfico especialmente manipulado.

Se encuentran afectadas las versiones de las ramas 1.8 y 1.10 anteriores
a la 1.8.11 y 1.10.3 que corrigen todas las vulnerabilidades expuestas y
se encuentran disponibles para su descarga desde la página oficial.

 Fuente