Debian-Sicherheitsankündigung

DSA-297-1 snort -- Integer-Überlauf, Pufferüberlauf

Datum des Berichts:
01. Mai 2003
Betroffene Pakete:
snort
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7178, BugTraq ID 6963.
In Mitres CVE-Verzeichnis: CVE-2003-0033, CVE-2003-0209.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#139129, VU#916785, CA-2003-13.
Weitere Informationen:

Zwei Verwundbarkeiten wurden in Snort entdeckt, einem beliebten Netzwerk-Eindringungs-Erkennungs-System. Snort bringt Module und Plugins mit, die eine große Anzahl an Funktionen wie Protokoll-Analysen durchführen. Die folgenden Probleme wurden identifiziert:

Heap-Überlauf im Snort "stream4"-Präprozessor
(VU#139129, CAN-2003-0209, Bugtraq Id 7178)
Forscher bei CORE Security Technologies haben einen entfernt ausnutzbaren Integer-Überlauf entdeckt, der dazu führt, dass der Heap im "stream4"-Präprozessor Modul überschrieben wird. Diese Modul erlaubt es Snort, TCP-Paket-Fragmente für weitere Analysen wieder zusammenzusetzen. Ein Angreifer könnte willkürlichen Code einbringen, der unter der Benutzerkennung ausgeführt wird, mit der Snort läuft, vermutlich als root.
Pufferüberlauf im Snort RPC-Präprozessor
(VU#916785, CAN-2003-0033, Bugtraq Id 6963)
Forscher bei Internet Security Systems X-Force haben einen entfernt ausnutzbaren Pufferüberlauf im Snort RPC-Präprozessor Modul gefunden. Snort prüft die Länge unkorrekt, die gegen die aktuelle Paket-Größe normalisiert wird. Ein Angreifer könnte dies ausnutzen, um willkürlichen Code mit den Privilegien des Snort-Prozesses auszuführen, vermutlich als root.

Für die stable Distribution (Woody) wurden diese Probleme in Version 1.8.4beta1-3.1 behoben.

Die alte stable Distribution (Potato) ist nicht von diesen Problemen betroffen, da sie den problematischen Code nicht enthält.

Für die unstable Distribution (Sid) wurden diese Probleme in Version 2.0.0-1 behoben.

Wir empfehlen Ihnen, Ihre snort-Pakete unverzüglich zu aktualisieren.

Es wird ebenfalls empfohlen, auf die aktuellste Version von Snort zu aktualisieren, da Snort als ein Eindringungs-Erkennungs-System ziemlich nutzlos ist, wenn es auf alten und veralteten Daten basiert und nicht aktuell gehalten wird. Solchen Installationen wäre es nicht möglich, Einbrüche mittels moderner Methoden zu erkennen. Die aktuelle Version ist 2.0.0, während die Version in der stable Distribution (1.8) ziemlich alt ist, und die Version in der alte stable Distribution hoffnungslos ist.

Da Debian willkürliche Pakete in den stable-Releases nicht aktualisiert, nicht einmal Snort erhält andere Aktualisierungen außer Behebungen für Sicherheitsprobleme, wird es Ihnen empfohlen, auf die aktuellste Version von Quellen dritter zu aktualisieren.

Der Debian-Betreuer für Snort bietet zurückportierte aktuelle Pakete für Woody (stable) und Potato (oldstable) an, für den Fall, dass Sie Ihr gesamtes System nicht aktualisieren können. Diese Pakete sind jedoch nicht getestet und nur für die i386-Architektur verfügbar:

deb     http://people.debian.org/~ssmeenk/snort-stable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-stable-i386/ ./

deb     http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.