CVE-2025-5601 olarak izlenen kritik bir güvenlik açığı, 4 Haziran 2025’te Wireshark sürümleri 4.4.0 ila 4.4.6 ve 4.2.0 ila 4.2.12 sürümlerini etkiledi.
“Diseksiyon Motoru Kazası” (WNPA-SEC-2025-02) olarak tanımlanan bu kusur, Wireshark disektörleri tarafından kullanılan sütun yardımcı programındaki bir hatadan kaynaklanmaktadır.
Güvenlik açığı, saldırganların bir ağa kötü biçimlendirilmiş paketler enjekte ederek veya bir kullanıcıyı özel hazırlanmış bir yakalama dosyası açmaya ikna ederek bir hizmet reddi (DOS) neden olmasına izin verir.
.png
)
Sorunun teknik kökü, Wireshark’ın paket diseksiyonu sırasında sütun verilerini nasıl ele aldığıdır.
Özellikle, bir tampon kopya işlemi, uygun giriş boyutu kontrolü olmadan gerçekleşir ve potansiyel bellek bozulmasına ve uygulama çökmelerine yol açar.
Hata, canlı paket yakalama sırasında veya kaydedilmiş paket izleme dosyalarını analiz ederken tetiklenebilir, bu da onu çok yönlü bir saldırı vektörü haline getirir.
Sömürü senaryoları ve teknik etki
Güvenlik açığı, CVSS skoru 7.8 ile yüksek şiddet olarak sınıflandırılır.
Vahşi doğada aktif istismar bildirilmemiştir, ancak kazayı tetikleme kolaylığı nedeniyle risk önemli olmaya devam etmektedir. Saldırganlar kusuru iki ana yolla kullanabilir:
- Paket enjeksiyonu: Kötü niyetli aktörler, Wireshark tarafından izlenen bir ağa kötü biçimlendirilmiş paketler enjekte ederek uygulamanın paketi incelemeye çalıştığında çökmesine neden olur.
- Hazırlanmış yakalama dosyaları: Saldırganlar özel olarak hazırlanmış dağıtır
.pcapveya.pcapngdosyalar. Bir kullanıcı böyle bir dosyayı Wireshark’ın etkilenen bir sürümünde açtığında, uygulama hemen çöker.
İlgili bir hata raporu, paket listesindeki bir sütun başlığını tıklamanın bile etkilenen sürümlerde bir segmentasyon hatasına (SEGV) neden olabileceğini ve riski daha da artırabileceğini vurgular.
Bu davranış, sütun işleme mantığında temel bir kusuru gösteren farklı izleme dosyaları ve sütunlar arasında tutarlıdır.
Örnek Kod Referansı
Güvenlik açığı, sütun yardımcı programı modülündeki güvenli olmayan arabellek işlemleriyle ilişkilidir.
Kesin kod snippet’i tescilli olmakla birlikte, aşağıdaki sözde kodu güvenli olmayan işlemi göstermektedir:
c// Vulnerable buffer copy operation
void copy_column_data(char *dest, const char *src, size_t dest_size) {
// Missing bounds check
strcpy(dest, src); // Potential buffer overflow if src > dest_size
}
Güvenli bir uygulama kullanmalıdır strncpy veya açık sınırlarla benzer fonksiyonlar, arabellek taşmalarını önlemek için kontrol.
Etkilenen sürümler, yama durumu ve hafifletme
Aşağıdaki tablo, etkilenen ve sabit versiyonları özetlemektedir:
| Etkilenen sürümler | Sabit sürümler | CVE kimliği | Şiddet |
|---|---|---|---|
| 4.4.0 – 4.4.6 | 4.4.7 | CVE-2025-5601 | Yüksek |
| 4.2.0 – 4.2.12 | 4.2.13 | CVE-2025-5601 | Yüksek |
Kullanıcılara Wireshark 4.4.7, 4.2.13’e veya daha sonra bu güvenlik açığını azaltmak için yükseltmeleri şiddetle tavsiye edilir.
Yama, sütun yardımcı programı modülündeki arabellek kullanımı kusurunu ele alır ve hatalı biçimlendirilmiş girişten çökmelerin önlenmesini önler.
Hemen yükseltmelerin mümkün olmadığı ortamlar için, kullanıcılar güvenilmeyen paket yakalama dosyalarını açmaktan kaçınmalı ve ağ erişimini yalnızca güvenilir kaynaklara kısıtlamalıdır.
Bu güvenlik açığının hızlı açıklanması ve yaması, ağ analiz ortamlarında zamanında güncellemelerin ve proaktif güvenlik uygulamalarının önemini vurgulamaktadır.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun