• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-297-1 snort -- целочисленное переполнение, переполнение буфера

Главная Специалистам База уязвимостей DSA-297-1 snort -- целочисленное переполнение, переполнение буфера

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
Обнаружены два уязвимых места в Snort, популярной системе обнаружения
вторжений в сеть. Snort включает модули и плагины, предоставляющие
разнообразные функции, такие как анализ протоколов. Идентифицированы
следующие уязвимости:

Переполнение кучи в препроцессоре Snort "stream4"
   (VU#139129, CAN-2003-0209, Bugtraq Id 7178)
Исследователи из CORE Security Technologies обнаружили выход
   за пределы допустимых целочисленных значений, который может быть
   использован удалённым нападающим, приводящий к перезаписи содержимого
   кучи в модуле препроцессора "stream4". Этот модуль позволяет Snort
   пересобрать фрагмента пакетов TCP для проведения дальнейшего
   анализа. Нападающий может вставить произвольный код, который будет
   выполнен от имени пользователя, запустившего Snort, вероятно,
   пользователя root.
Переполнение буфера в препроцессоре Snort RPC
   (VU#916785, CAN-2003-0033, Bugtraq Id 6963)
Исследователи из Internet Security Systems X-Force обнаружили
   возможность переполнения буфера, которая может быть использована
   удалённым нападающим, в модуле препроцессора Snort RPC. Snort
   при нормализации чего-либо к текущей длине пакета некорректно
   проверяет его длину. Нападающий может, используя эту ошибку,
   выполнить произвольный код с привилегиями процесса Snort, вероятно,
   привилегиями пользователя root.

В стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 1.8.4beta1-3.1.
Старый стабильный дистрибутив (potato) не затронут, поскольку
не содержит кода, в котором обнаружены ошибки.
В нестабильном дистрибутиве (sid) эти проблемы исправлены
в версии 2.0.0-1.
Мы рекомендуем вам немедленно обновить пакет snort.
Мы также советуем обновить Snort до наиболее свежей версии,
поскольку она, как и любая система обнаружения вторжений, становится
бесполезной, если работает на основе устаревших данных. Старые версии
могут не определить вторжения, использующие более современные методы.
Текущая версия Snort имеет номер версии 2.0.0, версия в стабильном
дистрибутиве (1.8) довольно стара, а в старом стабильном дистрибутиве
совершенно безнадёжна.
Поскольку Debian не обновляет произвольные пакеты в стабильных
выпусках, даже Snort не будет включать никаких обновлений, помимо
исправления ошибок, связанных с безопасностью. Вам рекомендуется
обновить систему до последней версии, используя исходный код от
третьих лиц.
Сопровождающий пакета Snort Debian предоставляет обновлённые пакеты
для woody (стабильный дистрибутив) и potato (старый стабильный дистрибутив)
на случай, если вы не можете обновить всю систему целиком. Однако эти
пакеты не тестировались и существуют только для архитектуры i386:

deb     http://people.debian.org/~ssmeenk/snort-stable-i386/">http://people.debian.org/~ssmeenk/snort-stable-i386/">http://people.debian.org/~ssmeenk/snort-stable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-stable-i386/">http://people.debian.org/~ssmeenk/snort-stable-i386/">http://people.debian.org/~ssmeenk/snort-stable-i386/ ./

deb     http://people.debian.org/~ssmeenk/snort-oldstable-i386/">http://people.debian.org/~ssmeenk/snort-oldstable-i386/">http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-oldstable-i386/">http://people.debian.org/~ssmeenk/snort-oldstable-i386/">http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
s390x:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
m68k:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
i686:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
hppa:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
sparc:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
alpha:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
ia64:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
mips:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
noarch:
snort-doc - 1.8.4beta1-3.1
snort-rules-default - 1.8.4beta1-3.1
mipsel:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
arm:
snort - 1.8.4beta1-3.1
snort-common - 1.8.4beta1-3.1
snort-mysql - 1.8.4beta1-3.1
Ссылки
http://www.debian.org/security/dsa-297/

Источник: CVE
Наименование: CVE-2003-0033
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0033

Источник: CVE
Наименование: CVE-2003-0209
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0209