Remote code execution w tcpdump

Na początku marca pojawiła się nowa wersja tcpdump-a łatająca błędy: CVE-2015-2153, 2154, 2155 oraz CVE-2015-0261.

Na stronie tcpdumpa, informacja jest dośc lakoniczna, ale już w opisie łaty np. w Debianie, mowa jest o potencjalnym Remote Code Execution. Czyli w przypadku wysłania nam przez atakującego odpowiednio spreparowanego pakietu (lub spreparowania pliku pcap), możliwe jest wykonanie na naszej maszynie dowolnego kodu – z prawami użytkownika, na którym działa tcpdump.

Pamiętajcie więc aby w miarę możliwości nie używać tcpdumpa z użytkownika root i oczywiście załatać to przydatne narzędzie.

–ms