Megjelent a Wireshark 4.6.7 biztonsági javításokkal, kibővített protokolltámogatással és jobb capture-kompatibilitással

Megjelent a Wireshark 4.6.7 biztonsági javításokkal és kibővített protokolltámogatással

A Wireshark Foundation kiadta a Wireshark 4.6.7 verziót, amely a stabil 4.6-os kiadási ág legújabb karbantartási frissítése.

Az új verzió számos biztonsági javítást, protokollfejlesztést, parserkorrekciót és stabilitási módosítást tartalmaz. A frissítés több olyan hibát is megszüntet, amely rosszindulatúan kialakított hálózati csomagok vagy packet capture fájlok feldolgozásakor összeomlást, információszivárgást, memóriahibát vagy túlzott processzorterhelést okozhatott.

A Wireshark 4.6.7 telepítése különösen ajánlott hálózati rendszergazdáknak, incidenskezelőknek, malware-elemzőknek, penetration testereknek és digitális forenzikai szakembereknek, akik rendszeresen dolgoznak külső vagy nem megbízható forrásból származó capture fájlokkal.

Mi az a Wireshark?

A Wireshark a világ egyik legismertebb és legszélesebb körben használt hálózati protokollelemző alkalmazása.

A programot többek között az alábbi területeken alkalmazzák:

  • hálózati hibakeresés;
  • hálózati forgalom vizsgálata;
  • incidensvizsgálat;
  • malware-elemzés;
  • digitális forenzika;
  • protokollfejlesztés;
  • biztonsági kutatás;
  • oktatás.

A Wireshark három alapvető feladatot végez.

Packet capture

A program valós időben képes hálózati csomagokat rögzíteni, akár több tízezer packetből álló forgalmi folyamatokat is.

Szűrés

A felhasználók display és capture filterekkel szűkíthetik a hálózati adatokat, így csak az adott vizsgálathoz releváns csomagokat kell elemezniük.

Vizualizáció

A Wireshark részletesen megjeleníti a csomagok szerkezetét, a protokollmezőket és a teljes hálózati kommunikációs folyamatokat.

Mivel a Wireshark nem megbízható hálózati adatokat és külső capture fájlokat dolgoz fel, a program saját parser- és dissectorhibái is biztonsági kockázatot jelenthetnek.

A stabilitás és a biztonság áll a frissítés középpontjában

Bár már folyamatban van a következő generációs Wireshark 4.8 ág fejlesztése, a 4.6.7-es verzió fontos karbantartási frissítés a stabil kiadást használó szervezetek számára.

A Wireshark több ezer hálózati protokollt, fájlformátumot és kommunikációs eljárást képes dekódolni.

Az egyes protokollok elemzését speciális komponensek, úgynevezett dissectorok végzik.

Egy hibásan kialakított hálózati csomag vagy capture fájl kihasználhatja a dissectorok vagy parserek hibáit, és többek között:

  • alkalmazás-összeomlást;
  • végtelen ciklust;
  • túlzott CPU-használatot;
  • memóriafelülírást;
  • információszivárgást;
  • szolgáltatásmegtagadást okozhat.

A Wireshark Foundation közlése szerint a most javított sérülékenységek egyikének aktív kihasználásáról sincs tudomásuk.

Kibővített protokolltámogatás

A Wireshark 4.6.7 több tucat hálózati és alkalmazási protokoll támogatását javítja.

Az érintett protokollok között szerepel:

  • ALC;
  • BACapp;
  • C2P;
  • Catapult DCT2000;
  • COTP;
  • CSN.1;
  • DCERPC;
  • DCERPC MAPI;
  • DCERPC NSPI;
  • DNS;
  • DVB-S2-TABLE;
  • eDonkey;
  • Ethernet POWERLINK;
  • Fibre Channel ELS;
  • FMP/NOTIFY;
  • H.265 és HEVC;
  • HiPerConTracer;
  • IEEE 802.11 Wi-Fi;
  • LLS;
  • MEGACO;
  • MIH;
  • MPEG DSM-CC;
  • MS-WSP;
  • RELOAD;
  • SGP.32;
  • SSH;
  • STANAG 4607;
  • UMTS FP;
  • WOWW;
  • Z39.50.

A módosítások pontosabb dekódolást, jobb kompatibilitást és kevesebb hibás protokollazonosítást eredményeznek.

Capture fájlformátumok támogatása is javult

A frissítés több capture és naplófájl-formátum kezelését is fejleszti.

Érintett formátumok:

  • Android Logcat;
  • BLF, vagyis Binary Logging Format;
  • DBS Etherwatch;
  • Netlog;
  • pcapng.

A pcapng támogatás fejlesztése különösen fontos, mivel ez a formátum a hagyományos PCAP korszerűbb utódja.

A pcapng többek között képes tárolni:

  • több hálózati interfész adatait;
  • megjegyzéseket;
  • részletes időbélyegeket;
  • capture-metaadatokat;
  • több adatfolyamot egyetlen fájlban.

A javítások megbízhatóbbá teszik az autóipari rendszerekből, hálózati eszközökből, mobilrendszerekből és ipari környezetekből származó capture fájlok feldolgozását.

Több biztonsági sérülékenységet javítottak

A Wireshark 4.6.7 egyik legfontosabb eleme a biztonsági javítások nagy száma.

A megszüntetett problémák között szerepelnek:

  • végtelen ciklusok több protokolldissectorban;
  • információszivárgás a BLF parserben;
  • nagy számú ciklusfuttatás az FMP/NOTIFY dissectorban;
  • use-after-free memóriahiba az Ethernet POWERLINK dissectorban;
  • parser-összeomlások;
  • heap corruption hibák;
  • buffer overflow problémák;
  • heap buffer over-read sérülékenységek.

Ezek közül több támadó által kialakított capture fájllal is előidézhető lehetett.

Több protokolldissector végtelen ciklusba kerülhetett

A CVE-2026-15163 azonosítójú sérülékenység több protokolldissectort érintett.

Az érintett komponensek között szerepelt:

  • MIH;
  • MPEG DSM-CC;
  • eDonkey;
  • MEGACO.

Speciálisan kialakított hálózati csomagok feldolgozásakor a Wireshark végtelen elemzési ciklusba kerülhetett.

Ez magas CPU-használatot és szolgáltatásmegtagadási állapotot eredményezhetett.

Egy ilyen támadás különösen incidensvizsgálat során lehet zavaró, amikor az elemzők eleve támadó által generált hálózati adatokat vizsgálnak.

SSH dissector összeomlási hiba

A CVE-2026-15171 sérülékenység az SSH protokolldissectort érintette.

Rosszindulatúan kialakított packet capture feldolgozásakor a Wireshark összeomolhatott.

A projekt szerint nincs bizonyíték arra, hogy a sérülékenységet valós támadásokban kihasználták volna.

IEEE 802.11 Wi-Fi dissector hiba

A CVE-2026-15166 az IEEE 802.11 protokolldissectort érinti.

A hiba rosszindulatú capture fájl feldolgozásakor alkalmazás-összeomlást okozhatott.

A sérülékenység a Wireshark 4.6.0 és 4.6.6 közötti verzióit érintette, és a 4.6.7-es kiadásban javították.

Információszivárgás a BLF parserben

A frissítés megszüntet egy információközlési hibát a BLF fájlparserben is.

A BLF formátumot gyakran használják autóipari és beágyazott rendszerek kommunikációs adatainak rögzítésére.

A sérülékenység feldolgozási hiba következtében olyan memóriaadatok megjelenítését vagy kiolvasását tehette lehetővé, amelyek nem tartoztak közvetlenül a capture fájlhoz.

Use-after-free az Ethernet POWERLINK dissectorban

Az Ethernet POWERLINK dissector profilbetöltési hibaútvonalában use-after-free memóriahibát azonosítottak.

A use-after-free akkor alakul ki, amikor egy alkalmazás olyan memóriaterületet próbál tovább használni, amelyet korábban már felszabadított.

Az ilyen hibák okozhatnak:

  • alkalmazás-összeomlást;
  • memóriaállapot-romlást;
  • kiszámíthatatlan működést;
  • súlyosabb esetben további exploitálási lehetőséget.

Több komponens összeomlását is javították

A Wireshark 4.6.7 több stabilitási problémát szüntet meg.

Javított összeomlások:

  • Catapult DCT2000 dissector;
  • SSH dissector;
  • TLS Encrypted Client Hello visszafejtés;
  • pcapng parser;
  • DBS Etherwatch parser;
  • Ciscodump extcap;
  • UMTS FP dissector;
  • IEEE 802.11 dissector;
  • Z39.50 dissector.

A BACapp protokoll feldolgozásában jelentkező hibákat is javították.

Memóriabiztonsági fejlesztések

A memóriahibák továbbra is kiemelt figyelmet kapnak a Wireshark fejlesztése során.

A 4.6.7-es verzió az alábbi problémákat is javítja:

  • heap buffer overflow az Android Logcat parserben;
  • heap buffer over-read a ws_strptime() függvényben;
  • buffer overflow és segmentation fault a Catapult DCT2000 dissectorban;
  • use-after-free az Ethernet POWERLINK dissectorban;
  • memória-szivárgások több tesztcapture feldolgozásakor;
  • HEAP_CORRUPTION hiba a recent_common konfigurációs fájl használatakor.

Hibás protokollazonosítás is megszűnt

A fejlesztők egy olyan hibát is javítottak, amely miatt egyes Debian rendszerekről érkező IPv6 pingforgalmat a Wireshark tévesen HiPerConTracer protokollként azonosított.

Ez ugyan nem közvetlen biztonsági sérülékenység, de forenzikai és hibakeresési feladatok során félrevezető elemzési eredményhez vezethetett.

Fuzz testing segíti a hibák feltárását

A Wireshark fejlesztői nagy mértékben támaszkodnak automatizált fuzz testingre.

A fuzzing során a programot nagy mennyiségű hibásan kialakított, váratlan vagy véletlenszerű bemenettel tesztelik.

Ez különösen hatékony olyan szoftvereknél, amelyek:

  • bináris adatokat;
  • hálózati csomagokat;
  • összetett protokollokat;
  • külső forrásból származó fájlokat dolgoznak fel.

A Wireshark 4.6-os kiadási ciklusában több parsercrash, infinite loop és memóriahiba került elő ilyen automatizált tesztek során.

A javított biztonsági problémák teljes listája

A Wireshark 4.6.7 a következő biztonsági hibákat javítja:

  • wnpa-sec-2026-52 – Catapult DCT2000 dissector crash;
  • wnpa-sec-2026-53 – pcapng parser crash;
  • wnpa-sec-2026-54 – FMP/NOTIFY large loop;
  • wnpa-sec-2026-55 – SSH dissector crash;
  • wnpa-sec-2026-56 – TLS ECH decryption crash;
  • wnpa-sec-2026-57 – IEEE 802.11 dissector crash;
  • wnpa-sec-2026-58 – Z39.50 dissector crash;
  • wnpa-sec-2026-59 – UMTS FP dissector crash;
  • wnpa-sec-2026-60 – BLF parser information disclosure;
  • wnpa-sec-2026-61 – több protokolldissector végtelen ciklusa;
  • wnpa-sec-2026-62 – DBS Etherwatch parser crash;
  • wnpa-sec-2026-63 – Ciscodump extcap crash.

Egyéb javított hibák

A kiadás több felhasználói és működési hibát is megszüntet.

Ezek között szerepel:

  • holland rendszerbeállítás mellett német nyelven indult a Wireshark;
  • hibásan méreteződött a Qt capture filter mező;
  • BACapp you-are request feldolgozási hiba;
  • nem megfelelő sponsor slide megjelenítés;
  • UTF-8 fuzzing hiba;
  • memória-szivárgás NSPI és ALP capture fájloknál;
  • H.265 bit offset feldolgozási hiba;
  • heap buffer over-read időformátum feldolgozásakor;
  • többszörös fuzzing során azonosított összeomlások.

Változás az extcap könyvtárak kezelésében

Unix rendszereken – a hivatalos macOS alkalmazáscsomag kivételével – a Wireshark mostantól alapértelmezetten a libexec könyvtár alatt keresi az extcap binárisokat.

Például:

/usr/libexec/wireshark/extcap

Ez váltja fel az olyan korábbi elérési utakat, mint:

/usr/lib64/wireshark/extcap

A hely az alábbi környezeti változóval felülírható:

WIRESHARK_EXTCAP_DIR

A Wireshark saját extcap komponensei automatikusan az új könyvtárba kerülnek, de harmadik féltől származó extcap csomagoknál csomagolási módosítás válhat szükségessé.

A változás már a 4.6.0-s verzióban életbe lépett, de korábban nem szerepelt egyértelműen a kiadási megjegyzésekben.

Kiknek különösen fontos a frissítés?

A Wireshark 4.6.7 telepítése különösen ajánlott:

  • SOC-csapatoknak;
  • incidenskezelőknek;
  • digitális forenzikai szakértőknek;
  • malware-elemzőknek;
  • penetration testereknek;
  • hálózati rendszergazdáknak;
  • ipari és autóipari hálózatokat vizsgáló szakembereknek;
  • oktatási és kutatási intézményeknek;
  • nem megbízható pcap vagy pcapng fájlokat elemző felhasználóknak.

Frissítés ajánlott

A Wireshark 4.6.7 azonnal elérhető Windows, Linux és macOS rendszerekhez.

A Wireshark 4.6.0 és 4.6.6 közötti verzióit használó szervezeteknek ajánlott mielőbb frissíteniük.

Bár nincs ismert aktív kihasználás, a frissítés csökkenti a rosszindulatúan kialakított capture fájlokból eredő:

  • alkalmazás-összeomlás;
  • CPU-kimerítés;
  • szolgáltatásmegtagadás;
  • memóriahiba;
  • információszivárgás kockázatát.

Összegzés

A Wireshark 4.6.7 fontos karbantartási és biztonsági kiadás.

A frissítés több mint egy tucat biztonsági hibát, protokolldissector-crasht, végtelen ciklust, memóriahibát és parserproblémát javít.

Emellett bővíti a protokoll- és captureformátum-támogatást, pontosabb dekódolást biztosít, valamint stabilabbá teszi a hálózati forgalom elemzését.

Azoknak a szervezeteknek és szakembereknek, akik külső forrásból származó packet capture fájlokat dolgoznak fel, érdemes a frissítést kiemelt prioritással kezelniük.

Az oldal tartalma nem másolható!