Wireshark のキャプチャファイル処理に起因する任意コード実行の脆弱性（Scan Tech Report）

Wireshark には、キャプチャファイルを処理する際に Lua スクリプトファイルのパス検索を適切に行わない脆弱性が報告されました。

脆弱性と脅威エクスプロイト

2011.12.21 Wed 8:00

1.概要
Wireshark には、キャプチャファイルを処理する際に Lua スクリプトファイルのパス検索を適切に行わない脆弱性が報告されました。
リモートの第三者に悪用された場合、システム上で不正な操作が実行される可能性があります。
脆弱性を悪用された場合の影響度が高いため、対象のユーザは可能な限り以下の対策を実施することを推奨します。

2.深刻度(CVSS)
6.9
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2011-3360&vector=%28AV%3AL/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%29

3.影響を受けるソフトウェア
Wireshark 1.4.0 - 1.4.8
Wireshark 1.6.0 - 1.6.1

※影響を受けるバージョンの Wireshark が含まれる、Linux ディストリビューションにおいても、この脆弱性の影響を受ける可能性があります。

4.解説
Wireshark には、キャプチャファイルである CAP または PCAP ファイルを処理する際に console.lua ファイルを適切な順序でパス検索を行わない不備が存在します。
このため、Wireshark のインストール時に含まれる正規の console.lua ファイルが検索される前に、キャプチャファイルと同じディレクトリに存在する同名の不正な console.lua ファイルを読み込んでしまう脆弱性が存在します。

この脆弱性を利用することでリモートの攻撃者は、Wireshark の実行権限で任意のコード実行が可能となります。

この脆弱性は、Scan Tech Report Vol.398 で紹介した DLL ハイジャックの脆弱性に類似する問題となります。

5.対策
（Web非公開）

6.ソースコード
（Web非公開）

（執筆：株式会社ラック　コンピュータセキュリティ研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

《吉澤亨史（ Kouji Yoshizawa ）》