Wireshark Vakfı, yaygın olarak kullanılan ağ protokolü analizörü için, hizmet reddi koşullarına yol açabilecek çok sayıda güvenlik açığını gideren önemli bir güvenlik güncellemesi yayınladı.
En son sürüm olan 4.6.1 sürümü, özellikle Bundle Protokolü sürüm 7 (BPv7) ve Kafka ayrıştırıcılarında keşfedilen kusurları hedef alıyor. Bu güvenlik açıkları, yama yapılmadan bırakılırsa, saldırganların bir ağ akışına veya izleme dosyasına kötü amaçlı veriler enjekte ederek uygulamayı zorla çökertmesine olanak tanır.
Disektör Çökmeleri Kullanıcıları Hizmet Reddine Maruz Kalıyor
Son güvenlik danışmanlığının özü, Wireshark’ın belirli ağ protokollerini nasıl ayrıştırdığına odaklanıyor. Güvenlik araştırmacıları BPv7 ayrıştırıcısında wnpa-sec-2025-05 olarak takip edilen ve 4.6.0 sürümünü etkileyen önemli bir kusur tespit etti.
wnpa-sec-2025-06 olarak adlandırılan ve 4.6.0 sürümünün yanı sıra 4.4.0 ile 4.4.10 arasında değişen 4.4.x dalını etkileyen Kafka ayrıştırıcısında da benzer bir güvenlik açığı keşfedildi.
| Danışma Kimliği | Bileşen | Güvenlik Açığı Türü | Darbe | Etkilenen Sürümler | Sabit Sürüm |
|---|---|---|---|---|---|
| wnpa-sec-2025-05 | BPv7 Disektörü | NULL İşaretçi Referansı / Çökmesi | Hizmet Reddi (DoS) | 4.6.0 | 4.6.1 |
| wnpa-sec-2025-06 | Kafka Disektörü | Bellek Bozulması / Çökmesi | Hizmet Reddi (DoS) | 4.6.0, 4.4.0 – 4.4.10 | 4.6.1, 4.4.11 |
Her iki senaryoda da yararlanma mekanizması hatalı biçimlendirilmiş bir paketin enjeksiyonunu içerir. Saldırganlar bu çökmeleri, Wireshark’ın izlediği canlı bir ağ arayüzüne özel hazırlanmış bir paket ileterek veya bir hedef analistini tehlikeye atılmış bir paket izleme dosyasını açmaya ikna ederek tetikleyebilir.
Wireshark ekibi bu sorunları dahili testler sırasında keşfetmiş ve şu anda aktif kullanımdan habersiz olsa da, sürekli izleme için araca güvenen güvenlik operasyon merkezleri (SOC’ler) ve ağ yöneticileri için kesinti potansiyeli hala yüksek.
Bakım sürümü, birincil güvenlik yamalarının ötesinde, protokol analizini engelleyen çeşitli kararlılık sorunlarını çözer. Daha önce yeniden iletim modlarını doğru şekilde yorumlayamayan L2CAP ayrıştırıcısına ve PK algoritmalarını hatalı bir şekilde HIT uzunlukları olarak etiketleyen DNS HIP ayrıştırıcısına önemli düzeltmeler uygulandı.
Geliştirme ekibi ayrıca TShark’ta Lua eklentileri tarafından tetiklenen bir çökmeyi de ele aldı ve mesajları seçerken uygulamanın durmasına neden olan belirli bir sorunu çözdü.
Diğer iyileştirmeler arasında TCP ayrıştırıcıya yönelik düzeltmeler, geçersiz paket diyagramları oluşturma ve LZ4 sıkıştırılmış çıktı dosyası yazma hatalarına yönelik düzeltmeler yer alıyor. Karmaşık ağ ortamlarıyla çalışan kullanıcılar, eklenti oluşturma sırasında endian.h ve libc arasındaki çatışmanın çözülmesinden faydalanacaktır.
Güncelleme ayrıca UDP Bağlantı Noktası 853’ün kodunun QUIC (DoQ) olarak doğru şekilde çözülmesini sağlar ve daha önce sürüm 4.6.0 ile uyumlu olmayan Omnipeek dosyalarının işlevselliğini geri yükler.
| Sorun kimliği | Bileşen | Tanım |
|---|---|---|
| Sayı 2241 | L2CAP Disektör | Düzeltilmiş mantık; disektör artık yeniden iletim modunu doğru bir şekilde anlıyor. |
| Sayı 20768 | DNS HIP Disektörü | PK algoritmasının hatalı bir şekilde HIT uzunluğu olarak tanımlandığı etiketleme hatası düzeltildi. |
| Sayı 20776 | Sistem Oluştur | Packet-zbee-direct.c’deki aclang-cl derleme hatası çözüldü. |
| Sayı 20779 | Dosya G/Ç | LZ4 ile sıkıştırılmış bir çıktı dosyasına yazarken oluşan hata giderildi. |
| Sayı 20786 | Eklentiler | Eklentiler oluştururken endian.handlibc arasındaki çakışma düzeltildi. |
| Sayı 20794 | Köpek balığı | Lua eklentilerinin neden olduğu kilitlenme çözüldü. |
| Sayı 20797 | Kullanıcı Arayüzü Performansı | Wireshark’ın belirli mesajları seçerken birkaç saniye durmasına neden olan sorun düzeltildi. |
| Sayı 20802 | TLS Disektör | Yeni Oturum Biletleri kullanılarak TLS Kısaltılmış El Sıkışmalarının düzeltilmiş kullanımı. |
| Sayı 20803 | WebSocket | Özel WebSocket ayrıştırıcılarının çalıştırılamaması hatası düzeltildi. |
| Sayı 20813 | DCERPC Disektör | Packet-dcerpc.c’de WINREG QueryValue tarafından tetiklenen bir ayrıştırıcı hatası çözüldü. |
| Sayı 20817 | Lua API’si | Paketleri okurken FileHandler’da meydana gelen kilitlenme düzeltildi. |
| Sayı 20818 | Filtre Motoru | Onaltılı değerleri doğru şekilde kullanmak için FT_NONE/BASE_NONE alanları (tek bayt) için Filtre Olarak Uygulanması düzeltildi. |
| Sayı 20819 | Kullanıcı Arayüzü Düzeni | “Paket Diyagramı” veya “Yok” seçildiğinde “Bölme 3” tercih düzenindeki sorun çözüldü. |
| Sayı 20820 | TCP Ayırıcı | Geçersiz paket diyagramlarının oluşturulması düzeltildi. |
| Sayı 20831 | Dosya Formatı | Dosya Formatı olarak açılırken çok fazla iç içe geçmiş VLAN etiketiyle ilgili sorun düzeltildi. |
| Sayı 20842 | Dosya Desteği | 4.6.0 sürümünde bozulan Omnipeek dosyalarına yönelik destek geri yüklendi. |
| Sayı 20845 | IsoBus Disektörü | Dize işlemlerinde UTF-16 dizeleri için destek eklendi. |
| Sayı 20849 | SNMP Ayırıcı | Unutulan BulkRequestrequest-ID’lerin filtrelenmesi düzeltildi. |
| Sayı 20852 | Tüylenme Testi | Belirli bir fuzz işi sorununa değinildi (fuzz-2025-11-12-12064814316.pcap). |
| Sayı 20856 | HIZLI/DoQ | UDP Bağlantı Noktası 853’ün (DoQ) kodunun QUIC olarak doğru şekilde çözüldüğünden emin olun. |
Ağ yöneticileri ve güvenlik analistleri, Wireshark 4.6.1 veya 4.4.11’e yükseltmeye hemen öncelik vermelidir. Güncelleme, doğrudan Wireshark Foundation’ın web sitesinden veya Linux ve Unix dağıtımları için ilgili paket yöneticileri aracılığıyla indirilebilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
