最新发布的Wireshark 4.6.1版本紧急修复了Bundle Protocol第七版(BPv7)和Kafka解析器中存在的安全隐患。这些漏洞如果未能及时修补,攻击者可能通过向网络流量或跟踪文件注入恶意数据包,迫使应用程序意外崩溃。
Wireshark基金会为其广受欢迎的协议分析工具发布了重要安全更新,解决了多个可能引发服务中断的漏洞。最新版本4.6.1主要针对BPv7和Kafka解析器中发现的安全缺陷。这些漏洞一旦被利用,攻击者能够通过精心构造的数据包导致关键监控工具瘫痪。

解析器漏洞可能引发服务中断
本次安全公告的核心问题集中在Wireshark解析特定网络协议的方式上。安全研究人员在BPv7解析器中发现了编号为wnpa-sec-2025-05的重大缺陷,涉及4.6.0版本。Kafka解析器中同样发现了编号为wnpa-sec-2025-06的漏洞,影响范围包括4.6.0版本及4.4.x分支(从4.4.0到4.4.10)。
两种漏洞的利用机制都涉及注入畸形数据包。攻击者可通过两种方式触发崩溃:向Wireshark正在监控的实时网络接口发送特制数据包,或诱骗分析人员打开被篡改的数据包跟踪文件。
尽管Wireshark团队在内部测试中及时发现这些问题,目前尚未发现野外利用案例,但对于依赖该工具进行持续监控的安全运营中心(SOC)和网络管理员而言,潜在的破坏风险仍然很高。
稳定性改进与功能修复
除关键安全补丁外,此次维护版本还解决了多个影响协议分析稳定性的问题。开发团队对L2CAP解析器进行了重要修正,该组件此前无法正确解析重传模式;同时修复了DNS HIP解析器中将PK算法错误标记为HIT长度的问题。
团队还解决了TShark中由Lua插件引发的崩溃问题,并修复了应用程序在选择消息时卡顿的特定问题。其他改进包括:修正TCP解析器创建无效数据包图表的问题,解决LZ4压缩输出文件写入失败错误。在复杂网络环境中工作的用户将受益于插件构建过程中endian.h与libc之间冲突的解决方案。
本次更新还确保UDP端口853能被正确解码为QUIC(DoQ),并恢复了对与4.6.0版本不兼容的Omnipeek文件的支持。
网络管理员和安全分析师应立即优先升级至Wireshark 4.6.1或4.4.11。更新可直接从Wireshark基金会官网下载,或通过Linux和Unix发行版的软件包管理器获取。
