Das freie Analysewerkzeug für Netzwerkverkehr Ethereal
lässt sich durch einen Programmierfehler von einem Angreifer
für eine Denial-Of-Service-Attacke un möglicherweise zur
zur Ausführung von beliebigem Schadcode nutzen. In einem Advisory
von iDefense
wird beschrieben, dass alle Versionen bis einschließlich 0.10.12
von diesem betroffen sind.
Die aktuelle Release 0.10.13 wurde von den Entwicklern deutlich
vor der Kontaktaufnahme durch iDefense am 14.11. veröffentlicht,
weswegen sie den Fehler ebenfalls noch enthalten dürfte. In
der Entwickler-Version
auf dem SVN-Server wurde er hingegen am 15.11 behoben. Als Workaround
wird die Deaktivierung des fehlerhaften OSPF-Dissectors empfohlen.
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|