Debians sikkerhedsbulletin

DSA-297-1 snort -- heltalsoverløb, bufferoverløb

Rapporteret den:
1. maj 2003
Berørte pakker:
snort
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7178, BugTraq-id 6963.
I Mitres CVE-ordbog: CVE-2003-0033, CVE-2003-0209.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#139129, VU#916785, CA-2003-13.
Yderligere oplysninger:

To sårbarheder er opdaget i Snort, et populært system til opdagelse af netværksindtrængen. Der følger moduler og indstik (plugins) med Snort, som kan udføre forskellige funktioner såsom protokolanalyse. Man har fundet frem til følgende problemer:

Stakoverløb i Snorts "stream4" præ-processor
(VU#139129, CAN-2003-0209, Bugtraq Id 7178)
Forskere hos CORE Security Technologies har opdaget et heltalsoverløb der kan fjernudnyttes og som resulterer i overskrivelse af stakken i præprocessormodulet "stream4" preprocessor module. Dette modul gør det muligt for Snort at genopbygge TCP-pakkefragmenter til nærmere analyse. En angriber kunne indsætte vilkårlig kode, der kunne udføres som brugeren, der kørte Snort, formentlig root.
Bufferoverløb i Snorts RPC-præprocessor
(VU#916785, CAN-2003-0033, Bugtraq Id 6963)
Forskere hos Internet Security Systems X-Force har opdaget et bufferoverløb i Snorts RPC-præprocessor, som kan fjernudnyttes. Snort kontrollerer ukorrekt længden af, hvad der normaliseres mod den aktuelle pakkestørrelse. En angriber kunne udnytte dette til at udføre vilkårlig kode med rettighederne hørende til Snort-processen, formentlig root.

I den stabile distribution (woody) er disse problemer rettet i version 1.8.4beta1-3.1.

Den gamle stabile distribution (potato) er ikke påvirket af disse problemer, da den ikke indeholder den problematiske kode.

I den ustabile distribution (sid) er disse problemer rettet i version 2.0.0-1.

Vi anbefaler at du omgående opgraderer din snort-pakke.

Det anbefales at opgradere til den seneste version af Snort, da Snort, som ethvert system til opdagelse af indtrængen, er mere eller mindre ubrugelig, hvis den er baseret på gamle og forældede oplysninger, og ikke er føres ajour. Sådanne installationer vil ikke kunne opdage indtrængen ved hjælp af moderne metoder. Den aktuelle version af Snort er 2.0.0, mens versionen i den stabile distribution (1.8) er ganske gammel og versionen i den gamle stabile distribution er håbløst forældet.

Da Debian ikke opdaterer vilkårlige pakker i stabile udgaver, vil ikke engang Snort blive opdateret i andre sammenhænge, end i forbindelse med rettelse af sikkerhedsproblemer, anbefales det, at du opgraderer til den seneste version fra en trediepartskilde.

Debians vedligeholder af Snort stiller tilbageførte, opdaterede pakker til woody (stabil) og potato (gammel stabil) til rådighed ved situationer hvor man ikke kan opgradere hele sit system. Disse pakker er dog ikke testet og findes kun til i386-arkitekturen:

deb     http://people.debian.org/~ssmeenk/snort-stable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-stable-i386/ ./

deb     http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.