Множественные уязвимости в Wireshark: переполнения буфера и удалённый отказ в обслуживании

wireshark

Wireshark Foundation опубликовала 12 бюллетеней безопасности (wnpa-sec-2026-52 - wnpa-sec-2026-63), закрывающих 12 уязвимостей в сетевом анализаторе Wireshark. Проблемы затрагивают версии 4.6.x до 4.6.7, а также 4.4.x до 4.4.17. Часть из них позволяют удалённо вызвать отказ в обслуживании, одна - потенциально раскрыть данные.

Детали уязвимостей

Сама по себе массовая публикация патчей для Wireshark не является исключительным событием: инструмент обрабатывает множество протоколов и форматов файлов, и ошибки в их парсерах регулярно выявляются как исследователями, так и через внутреннее тестирование. Однако в этом наборе обращает на себя внимание целый ряд уязвимостей, связанных с переполнением буфера (heap и stack), бесконечными циклами и разыменованием нулевого указателя. В общей сложности зафиксировано восемь уязвимостей.

Наиболее серьёзной является CVE-2026-15167 - стековое переполнение в парсере файлов DBS Etherwatch. Ей присвоен вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H (базовая оценка 7.5). Это означает, что атака может быть проведена удалённо, без аутентификации и без взаимодействия с пользователем. Злоумышленнику достаточно передать специально сформированный файл или сетевой пакет, чтобы вызвать крах приложения. Остальные уязвимости, кроме CVE-2026-15168, также приводят к отказу в обслуживании, но требуют от пользователя открытия вредоносного файла/пакета (UI:R) и имеют локальный вектор (AV:L). CVE-2026-15168 (использование неинициализированной переменной в парсере BLF-файлов) потенциально может раскрыть содержимое памяти - оценка 2.5.

Под ударом могут оказаться администраторы безопасности, специалисты по анализу сетевого трафика и все, кто использует Wireshark для диагностики. Учитывая, что Wireshark часто применяется в корпоративных SOC для разбора инцидентов, атака типа "отказ в обслуживании" может не только остановить анализ, но и дать злоумышленнику дополнительное время для сокрытия следов. Проблема усугубляется тем, что одна из уязвимостей (CVE-2026-15167) не требует участия человека - она срабатывает при автоматической обработке трафика.

Вот как описывает одну из проблем сам производитель: в бюллетене wnpa-sec-2026-53 указано, что крах ciscodump (компонента для снятия дампов с оборудования Cisco) происходит из-за переполнения кучи (heap buffer overflow) и также позволяет вызвать отказ в обслуживании. Всего в наборе CVE-2026-15163 (бесконечный цикл в нескольких диссекторах протоколов), CVE-2026-15164 (переполнение кучи в ciscodump), CVE-2026-15165 (переполнение кучи в расшифровщике TLS ECH, только 4.6.x), CVE-2026-15166 (стековое переполнение в диссекторе IEEE 802.11), CVE-2026-15168 (неинициализированная переменная в BLF), CVE-2026-15169 (переполнение кучи в UMTS FP), CVE-2026-15170 (переполнение кучи в Z39.50), CVE-2026-15171 (нулевой указатель в SSH), CVE-2026-15172 (непроверенный ввод в цикле в FMP/NOTIFY), CVE-2026-15173 (переполнение кучи в парсере pcapng, только 4.6.x), CVE-2026-15174 (переполнение кучи в Catapult DCT2000). Разработчики уже выпустили версии 4.6.7 и 4.4.17, в которых все 12 дефектов устранены.

Публикация указывает на системную проблему: с ростом количества поддерживаемых протоколов растёт и поверхность атаки анализатора трафика. Каждый новый или обновлённый диссектор потенциально содержит ошибки обработки граничных значений. Wireshark традиционно исправляет такие уязвимости быстро, но пользователям необходимо своевременно обновлять ПО на всех рабочих станциях, где он установлен. Особое внимание стоит уделить серверам, работающим в режиме захвата трафика, - для них удалённая эксплуатация CVE-2026-15167 представляет наибольшую угрозу.

Ссылки

Комментарии: 0