关键词
wireshark
Wireshark 基金会近日发布重要安全更新,修复多个可能导致拒绝服务的漏洞。问题主要出现在 Bundle Protocol v7(BPv7)和 Kafka 协议解析器中,攻击者可通过向网络注入畸形数据包或诱使分析人员打开恶意捕获文件,使 Wireshark 崩溃。
关键漏洞概述
本次安全更新重点修复两项严重问题。
第一项是 BPv7 解析器中的空指针解引用漏洞,编号为 wnpa-sec-2025-05,影响 Wireshark 4.6.0。当应用解析经过特殊构造的数据包时,会触发异常并崩溃。
第二项是 Kafka 解析器中的内存破坏漏洞,编号为 wnpa-sec-2025-06,影响 Wireshark 4.6.0 以及 4.4.0 至 4.4.10 之间的版本。加载恶意 Kafka 信息后,解析器可能访问无效内存,导致应用终止。
针对上述漏洞,官方已经在 Wireshark 4.6.1 和 4.4.11 中完成修复。
攻击者只需通过以下方式即可触发缺陷:
一是在 Wireshark 正常抓包的网络接口注入畸形数据;二是引导分析人员打开包含恶意构造数据包的 pcap 文件。
虽然目前尚未发现实际攻击案例,但 Wireshark 团队表示,这些问题可能导致安全分析中断,对安全运营中心和网络管理员产生严重影响。
其他修复内容
除了上述严重漏洞,本次维护更新还修复了大量影响协议解析准确性与工具稳定性的问题,包括:
-
修正 L2CAP 解析器无法正确识别重传模式的问题
-
修复 DNS HIP 解析中 PK 算法标签错误
-
解决 TShark 在加载 Lua 插件时发生崩溃的问题
-
修复选择消息时界面卡顿的现象
-
修正 TCP 解析器生成无效数据包结构图的问题
-
修复 LZ4 压缩文件写入失败的问题
-
恢复对 Omnipeek 文件格式的支持
-
修复多个涉及 DCERPC、TLS、WebSocket、SNMP 等协议的细节问题
-
确保 UDP 853 端口正确识别为 QUIC(DoQ)
这些改动提升了 Wireshark 的稳定性、兼容性与解析准确性。
