Używanie popularnego narzędzia tcpdump do diagnozowania ruchu sieciowego może powodować kłopoty. Atakujący mogą wykorzystać lukę w tym oprogramowaniu, używając spreparowanych pakietów. Efektem jest wstrzyknięcie kodu, który zostanie wykonany z uprawnieniami użytkownika uruchamiającego aplikację. Usterkę znalazł specjalista ds. bezpieczeństwa mu-b z digit-labs.org i opublikował demo.
Błąd spowodowany jest przekroczeniem zakresu liczby całkowitej w pliku print-bgp.c. Odpowiednio zmanipulowane pakiety protokołu bramy brzegowej (Border Gateway Protocol, BGP) mogą doprowadzić do przepełnienia bufora w wywołaniu snprintf(), czego efektem jest zakończenie pracy programu lub wykonanie wstrzykniętego kodu.
Na usterkę podatna jest edycja 3.9.6 narzędzia i wcześniejsze. Nie ukazała się do tej pory aktualizacja, choć deweloperzy poprawili już kody źródłowe w systemie kontroli wersji. Użytkownicy mogą samodzielnie załatać narzędzie, pobierając z repozytorium najnowsze wydanie i rekompilując program.
Źródło: heise Security
tcpdump to popularny sniffer służący do śledzenia komunikacji w sieciach komputerowych. Pozwala na pełne lub selektywne przechwytywanie, wyświetlanie i zapisywanie do pliku pakietów TCP/IP oraz innych protokołów transmitowanych lub odbieranych w sieci komputerowej do której podłączony jest komputer użytkownika. Autorami oryginalnej wersji są Van Jacobson, Craig Leres i Steven McCanne pracujący wówczas w Lawrence Berkeley Laboratory.
Tcpdump pracuje na większości platform uniksowych jak np. Linux, Solaris, BSD, Mac OS X, HP-UX i AIX. Na tych systemach tcpdump opiera się na bibliotece libpcap, która odpowiedzialna jest za samo przechwytywanie pakietów. Wersja przeniesiona na system Windows dostępna jest pod nazwą WinDump, i współpracuje z biblioteką WinPcap.
W większości systemów operacyjnych użytkownik musi mieć uprawnienia superużytkownika aby móc używać programu do odbierania danych z sieci, gdyż tylko w tym trybie możliwy jest dostęp do gniazd typu RAW.
Wikipedia