Bulletin d'alerte Debian

DLA-198-1 wireshark -- Mise à jour de sécurité pour LTS

Date du rapport :

22 avril 2015

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-2191, CVE-2015-2188, CVE-2015-0564, CVE-2015-0562, CVE-2014-8714, CVE-2014-8713, CVE-2014-8712, CVE-2014-8711, CVE-2014-8710, CVE-2014-6432, CVE-2014-6431, CVE-2014-6430, CVE-2014-6429, CVE-2014-6428, CVE-2014-6423, CVE-2014-6422.

Plus de précisions :

Les vulnérabilités suivantes ont été découvertes dans la version de Wireshark pour Squeeze :

CVE-2015-2188 Le dissecteur WCP pourrait planter
CVE-2015-0564 Wireshark pourrait planter pendant le déchiffrement de sessions TLS/SSL
CVE-2015-0562 Le dissecteur du protocole de routage DEC DNA pourrait planter
CVE-2014-8714 Boucles infinies de TN5250
CVE-2014-8713 Plantages de NCP
CVE-2014-8712 Plantages de NCP
CVE-2014-8711 Plantage d'AMQP
CVE-2014-8710 Dépassement de tampon de SigComp UDVM
CVE-2014-6432 Plantage de l'analyseur de fichier de Sniffer
CVE-2014-6431 Plantage de l'analyseur de fichier de Sniffer
CVE-2014-6430 Plantage de l'analyseur de fichier de Sniffer
CVE-2014-6429 Plantage de l'analyseur de fichier de Sniffer
CVE-2014-6428 Plantage du dissecteur SES
CVE-2014-6423 Boucle infinie du dissecteur MEGACO
CVE-2014-6422 Plantage du dissecteur RTP

Dans la mesure où le rétroportage des correctifs amont vers 1.2.11-6+squeeze15 ne corrigeait pas tous les problèmes existants et où certains ne sont même pas suivis publiquement, l'équipe LTS a décidé de synchroniser le paquet wireshark de Squeeze-lts avec Wheezy-security pour le meilleur suivi de sécurité possible.

Notez que la mise à niveau de Wireshark des versions 1.2.x à 1.8.x introduit plusieurs modifications non rétrocompatibles dans la structure du paquet, les API/ABI de la bibliothèque partagée, la disponibilité des dissecteurs et dans la syntaxe des paramètres en ligne de commande.