Sortie de Wireshark 3.0.0

Posté par (page perso) . Édité par Davy Defaud, ZeroHeure et palm123. Modéré par Xavier Teyssier. Licence CC by-sa.
Tags :
48
10
mar.
2019
Sécurité

Le 28 février 2019 est parue la version 3.0.0 de Wireshark, un logiciel libre d’analyse de paquets réseau (depuis plus de 20 ans). C’est un outil précieux pour apprendre, comprendre, analyser et déboguer des problèmes réseau ou protocolaires.

Logo

Les changements en version 3.0.0

Parmi les changements de la version 3.0.0 (plus quelques captures prises avec cette version fraîchement compilée) :

  • des corrections de bogues Capture Wireshark & DLFPCapture d’écran montrant une lecture de LinuxFr.org à la Matrix, insérée ici à des fins décoratives.
  • de nouvelles fonctionnalités :
    • modernisation de la carte des adresses IP,
    • mise à jour des versions de Qt,
    • prise en charge du suédois, du russe et de l’ukrainien,
    • première prise en charge des tokens PKCS #11 pour le RSA dans TLS,
    • une compilation et un empaquetage reproductibles,
    • le remplacement de WinPcap par Npcap (maintenance active et plus de fonctionnalités) dans la livraison pour Windows,
    • horodatage pour les protocoles UDP/UDP-lite,
    • une sortie vers le moteur de recherche ElasticSearch pour TShark (la version ligne de commande de Wireshark),
    • le retour de la boîte de dialogue Capture Information,
    • la désactivation de la validation de séquence par défaut pour les dissecteurs Ethernet et IEEE 802.11,
    • la fonction de réassemblage dans l’ordre des paquets TCP en désordre,
    • le déchiffrement dans le dissecteur WireGuard,
    • les dissecteurs BOOTP et SSL sont renommés DHCP et TLS,
    • la coloration des règles, les graphes d’entrées‐sorties, les boutons de filtre et les préférences pour les protocoles peuvent être copiés depuis d’autres profils via la boîte de dialogue de configuration,
    • le codec APT-X est renommé aptX,
    • les importation et exportation hexadécimales permettent de spécifier la nature du contenu,
    • la possibilité d’utiliser un proxy pour le SSH pour les sshdump et ciscodump,
    • les options -a packets:NUM et -b packets:NUM pour Dumpcap,
    • l’option No Reassembly dans la configuration,
    • le système de compilation qui prend en charge les paquets AppImage,
    • le déchiffrement DTLS/TLS des fichiers pcapng embarquant un Decryption Secrets Block (DSB) contenant les infos sur la clé TLS,
    • l’option --inject-secrets pour editcap pour rajouter les infos sur la clé TLS,
    • la fonction string() pour les filtres,
    • la suite de tests Bash est remplacée par une suite basée sur Python unittest/pytest,
    • une fenêtre personnalisée améliorée LinuxFr.org par temps couvertCapture d’écran montrant une lecture de LinuxFr.org, version pour architecte amateur de flux, insérée ici à des fins décoratives.
  • les retraits et disparitions :
    • l’interface GTK+ n’est plus prise en charge (cf. Wireshark passe à Qt en 2013) et portaudio n’est du coup plus nécessaire,
    • Qt 4 n’est plus pris en charge sous Windows (Qt 5 requis), et Cygwin non plus,
    • il faut désormais GLib 2.32+, GnuTLS 3.2+, Python 3.4+ (fin de la prise en charge Python 2.7) et CMake (fin de la prise en charge des Autotools),
    • l’option -z compare de TShark est retirée LinuxFr.org pour perversCapture d’écran montrant une lecture de LinuxFr.org, pour passionnés de la ligne de commande, insérée ici à des fins décoratives.
  • nouveautés côté formats et protocoles :
    • sérialisation et désérialisation du format Ruby Marshal,
    • une foultitude de nouveaux protocoles pris en charge : Apple Wireless Direct Link (AWDL), Basic Transport Protocol (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Circuit Emulation Service over Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze trailers, General Circuit Services Notification Application Protocol (GCSNA), GeoNetworking (GeoNw), GLOW Lawo Emberplus Data format, Great Britain Companion Specification (GBCS) utilisé dans Smart Metering Equipment Technical Specifications (SMETS), GSM-R (User-to-User Information Element usage), HI3CCLinkData, Intelligent Transport Systems (ITS), ISO 13400-2 Diagnostic communication over Internet Protocol (DoIP), ITU-t X.696 Octet Encoding Rules (OER), Local Number Portability Database Query Protocol (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Osmocom Generic Subscriber Update Protocol (GSUP), PCOM protocol, PKCS#10 (RFC2986 Certification Request Syntax), PROXY (v2), S101 Lawo Emberplus transport frame, Secure Reliable Transport Protocol (SRT), décodage Spirent Test Center Signature pour Ethernet et FibreChannel (STCSIG, désactivé par défaut), portions de TDS propres à Sybase, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol (UBDP), WireGuard, XnAP (5G) et Z39.50 Information Retrieval Protocol

Bananas!

Sécurité

Il est à noter que les versions correctives 2.6.7 et 2.4.13 ont aussi été publiées le 27 février. Par nature (analyse de plus de 1 500 protocoles et écoute du réseau), Wireshark est souvent concerné par des alertes sécurité.

Wireshark 2.6.7   Capture de la version Wireshark présente dans Debian Sid au moment de l’écriture de cette dépêche.

Aller plus loin

  • # oss-fuzz / fuzzshark

    Posté par (page perso) . Évalué à 10 (+8/-0).

    Par nature (analyse de plus de 1500 protocoles et écoute du réseau), Wireshark est souvent concerné par des alertes sécurité.

    Sur ce point, le projet fait des tests de fuzzing. D'ailleurs le binaire fuzzshark est arrivé avec la branche 3.0.0 (compilation activée ou désactivée par cmake avec BUILD_fuzzshark). Il s'agit apparemment du remplacement ou de l'intégration dans le code du projet de oss-fuzz (discussion ancienne).

    • [^] # Re: oss-fuzz / fuzzshark

      Posté par . Évalué à 2 (+0/-0).

      Par nature (analyse de plus de 1500 protocoles et écoute du réseau), Wireshark est souvent concerné par des alertes sécurité.

      Hum, par "nature" ça se discute: il ne serait pas possible de séparer le process qui écoute sur l'interface du process qui analyse le traffic et de sandboxer ce dernier?

      Après, il faut que le process qui analyse le traffic communique avec l'IHM..

  • # Version Qt?

    Posté par (page perso) . Évalué à -7 (+1/-10).

    A une époque, j'avais cru comprendre que GTK serait abandonné.

    On en est où? Parce que j'utilise toujours la version GTK, c'est mal docteur?

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.