После двухнедельного закрытого распространения среди разработчиков дистрибутивов открыт (https://github.com/the-tcpdump-group/tcpdump/issues/584#issu...) публичный доступ к релизу сетевого анализатора трафика tcpdump 4.9.0 (http://www.tcpdump.org/#latest). Задержка открытия публичного доступа к релизу обусловлена устранением (https://www.debian.org/security/2017/dsa-3775) 32 уязвимостей (https://isc.sans.edu/forums/diary/Multiple+Vulnerabilities+i.../), большая часть из которых относятся к разряду критических проблем, которые потенциально могут привести к организации выполнения кода при обработке определённым образом оформленных сетевых пакетов.

Проблемы обнаружены в коде разбора содержимого пакетов, форматов и протоколов TCP, UDP,  IP, IPv6, ARP, SNMP, AH, ATM, SLIP, Ethernet, IEEE 802.11, IPComp,  Juniper PPPoE ATM,  LLC/SNAP,  MPLS, PIM, PPP, RTCP,  RTP, VAT, ZeroMQ, GRE, STP, AppleTalk,  BOOTP, TFTP, CALM FAST, GeoNetworking, Classical IP, FRF.15, Q.933, ISO CLNS, ISAKMP, SH, OTV, VXLAN  и могут привести к переполнению буфера.  Опасность уязвимостей усугубляется тем, что обычно tcpdump запускается с правами root (если не задана опция "-Z").

Из не связанных с безопасностью изменений (http://www.tcpdump.org/tcpdump-changes.txt) можно отметить добавление поддержки разбора и наглядного отображения данных для протоколов VXLAN-GPE (Generic Protocol Extension for VXLAN), HNCP (Home Networking Control Protocol), LISP (Locator/Identifier Separation Protocol 3 и 4 типа), MEDSA (Marvell Extended Distributed Switch Architecture), NSH (Network Service Header) и RESP (REdis Serialization Protocol).

URL: http://openwall.com/lists/oss-security/2017/01/30/1
Новость: http://www.opennet.me/opennews/art.shtml?num=45969

• Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,Anonimous, 21:36 , 02-Фев-17
• Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,gogo, 21:38 , 02-Фев-17
• Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,Аноним, 21:45 , 02-Фев-17
  • Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,лор унитаз, 00:27 , 03-Фев-17
  • Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,zanswer CCNA RS, 07:41 , 03-Фев-17
• Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,Аноним, 02:25 , 03-Фев-17
  • Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,RomanCh, 09:32 , 03-Фев-17
• Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,Аноним, 11:44 , 03-Фев-17
  • Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,Аноним, 12:33 , 03-Фев-17
  • Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,zanswer CCNA RS, 14:22 , 03-Фев-17
  • Выпуск tcpdump 4.9.0 с устранением 32 уязвимостей,Нанобот, 17:47 , 03-Фев-17

Шикарно!

Мне почему-то кажется, что этим не ограничится.... Ща народ набросится на эту тему и чего-то еще точно накопает ; )

> PPPoE ATM

Разве это не просто PPPoA?

нет, это именно PPPoE over ATM

PPPoEoA и PPPoA отличаются, первый опирается на AAL5 и SNAP, второй только на AAL5. Основное отличие в том, что в первом случае AAL5 выполняет bridging Ethernet кадров, а втором PPP кадров.

А чем он лучше ngrep?

С моей точки зрения - минимум тем что он более привычен и является стандартом де факто.
Кроме того, у них вроде бы несколько разное назначение. tcpdump больше предназначен для для полноценного анализа того что происходит в сети. А ngrep - что бы "погрепать", хотя с этим можно справиться и при помощи tcpdump.

>Опасность уязвимостей усугубляется тем, что обычно tcpdump запускается с правами root (если не задана опция "-Z").

Почему разработчики не хотят перейти на технологию Capabilities?

Почему ты не хочешь спросит об этом разработчиков и написать здесь их ответ?

Возможно это связано с тем, что tcpdump является кросс платформенным, что усложняет процесс внедрениянекоторых платформо специфических возможностей. Хотя в tshark/wireshark, если не ошибаюсь используют механизм capabilities.

>Почему разработчики не хотят перейти на технологию Capabilities?

они ниасилили