官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Wireshark 基金会已为其广泛使用的网络协议分析工具发布重要安全更新,修复了多个可能导致拒绝服务状态的漏洞。最新版本 4.6.1 专门针对 Bundle Protocol version 7(BPv7)和 Kafka 解析器中发现的安全缺陷。这些漏洞若未修补,攻击者可通过向网络流或跟踪文件注入恶意数据强制使应用程序崩溃。
解析器崩溃漏洞导致拒绝服务风险
最新安全公告的核心问题集中在 Wireshark 解析特定网络协议的方式上。安全研究人员在 BPv7 解析器中发现了编号为 wnpa-sec-2025-05 的重大缺陷,影响版本 4.6.0。Kafka 解析器中同样发现编号为 wnpa-sec-2025-06 的漏洞,影响版本 4.6.0 以及 4.4.x 分支(从 4.4.0 到 4.4.10)。
| 公告编号 | 组件 | 漏洞类型 | 影响 | 受影响版本 | 修复版本 |
|---|---|---|---|---|---|
| wnpa-sec-2025-05 | BPv7 解析器 | 空指针解引用/崩溃 | 拒绝服务(DoS) | 4.6.0 | 4.6.1 |
| wnpa-sec-2025-06 | Kafka 解析器 | 内存损坏/崩溃 | 拒绝服务(DoS) | 4.6.0, 4.4.0–4.4.10 | 4.6.1, 4.4.11 |
两种漏洞的利用机制都涉及注入畸形数据包。攻击者可通过两种方式触发崩溃:向 Wireshark 正在监控的实时网络接口发送特制数据包,或诱骗目标分析人员打开被篡改的数据包跟踪文件。
虽然 Wireshark 团队在内部测试中发现这些问题,目前尚未发现野外利用案例,但对于依赖该工具进行持续监控的安全运营中心(SOC)和网络管理员而言,潜在的破坏风险仍然很高。
稳定性改进与功能修复
除主要安全补丁外,此次维护版本还解决了多个影响协议分析的稳定性问题。开发团队对 L2CAP 解析器进行了重要修正,该组件此前无法正确解释重传模式;同时修复了 DNS HIP 解析器中将 PK 算法错误标记为 HIT 长度的问题。
团队还解决了 TShark 中由 Lua 插件引发的崩溃问题,并修复了应用程序在选择消息时卡顿的特定问题。其他改进包括:修复 TCP 解析器创建无效数据包图表的问题,修正 LZ4 压缩输出文件写入失败错误。在复杂网络环境中工作的用户将受益于插件构建过程中 endian.h 与 libc 之间冲突的解决。
更新还确保 UDP 端口 853 能被正确解码为 QUIC(DoQ),并恢复了对 4.6.0 版本不兼容的 Omnipeek 文件的支持。
| 问题编号 | 组件 | 描述 |
|---|---|---|
| Issue 2241 | L2CAP 解析器 | 修正逻辑;解析器现在能正确理解重传模式 |
| Issue 20768 | DNS HIP 解析器 | 修复将 PK 算法错误识别为 HIT 长度的标签错误 |
| Issue 20776 | 构建系统 | 解决 packet-zbee-direct.c 中的 clang-cl 编译错误 |
| Issue 20779 | 文件 I/O | 解决写入 LZ4 压缩输出文件时的失败问题 |
| Issue 20786 | 插件 | 修复构建插件时 endian.h 与 libc 的冲突 |
| Issue 20794 | TShark | 解决由 Lua 插件引起的崩溃 |
| Issue 20797 | UI 性能 | 修复选择特定消息时 Wireshark 卡顿数秒的问题 |
| Issue 20802 | TLS 解析器 | 修正使用新会话票证的 TLS 简化握手处理 |
| Issue 20803 | WebSocket | 修复自定义 WebSocket 解析器无法运行的错误 |
| Issue 20813 | DCERPC 解析器 | 解决 packet-dcerpc.c 中由 WINREG QueryValue 触发的解析器错误 |
| Issue 20817 | Lua API | 修复 FileHandler 读取数据包时的崩溃 |
| Issue 20818 | 过滤引擎 | 修正 FT_NONE/BASE_NONE 字段(单字节)的"应用为过滤器"功能,正确使用十六进制值 |
| Issue 20819 | UI 布局 | 解决选择"数据包图表"或"无"时"窗格3"偏好布局的问题 |
| Issue 20820 | TCP 解析器 | 修复创建无效数据包图表的问题 |
| Issue 20831 | 文件格式 | 解决打开文件格式时 VLAN 标签嵌套过多的问题 |
| Issue 20842 | 文件支持 | 恢复对 Omnipeek 文件的支持(该功能在 4.6.0 版本中被破坏) |
| Issue 20845 | IsoBus 解析器 | 为字符串操作添加 UTF-16 字符串支持 |
| Issue 20849 | SNMP 解析器 | 修正 getBulkRequest request-IDs 的过滤 |
| Issue 20852 | 模糊测试 | 解决特定模糊测试任务问题(fuzz-2025-11-12-12064814316.pcap) |
| Issue 20856 | QUIC/DoQ | 确保 UDP 端口 853(DoQ)被正确解码为 QUIC |
网络管理员和安全分析师应立即优先升级至 Wireshark 4.6.1 或 4.4.11。更新可直接从 Wireshark 基金会官网下载,或通过 Linux 和 Unix 发行版的相应软件包管理器获取。
参考来源:
Wireshark Vulnerabilities Let Attackers Crash by Injecting a Malformed Packet
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)