Aviso de seguridad de Debian

DSA-297-1 snort -- desbordamiento de entero, desbordamiento de búfer

Fecha del informe:
1 de may de 2003
Paquetes afectados:
snort
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 7178, Id. en BugTraq 6963.
En el diccionario CVE de Mitre: CVE-2003-0033, CVE-2003-0209.
Notas y avisos de incidentes y vulnerabilidades en CERT: VU#139129, VU#916785, CA-2003-13.
Información adicional:

Se han descubierto dos vulnerabilidades en Snort, un popular sistema de detección de intrusión en redes. Snort viene con módulos y plugins que realizan varias funciones como análisis de protocolos. Se han identificado los siguientes casos:

Desbordamiento de pila en el preprocesador «stream4» de Snort
(VU#139129, CAN-2003-0209, Bugtraq Id 7178)
Los investigadores del CORE Security Technologies han descubierto un desbordamiento de entero explotable remotamente que se producía al sobreescribir la pila en el módulo preprocesador de «stream4». Este módulo permite a Snort reensamblar fragmentos de paquetes TCP para un análisis posterior. Un atacante podía insertar código arbitrario para que se ejecutara como el usuario que estuviera corriendo Snort, probablemente root.
Desbordamiento de búfer en el preprocesador RPC de Snort
(VU#916785, CAN-2003-0033, Bugtraq Id 6963)
Los investigadores de Internet Security Systems X-Force han descubierto un desbordamiento de búfer explotable remotamente en el módulo preprocesador RPC de Snort. Snort comprobaba incorrectamente las longitudes de lo que se estaba normalizando con respecto al tamaño del paquete actual. Un atacante podía explotar esto para ejecutar código arbitrario con los privilegios del proceso Snort, probablemente de root.

Para la distribución estable (woody), estos problemas se han corregido en la versión 1.8.4beta1-3.1.

La distribución estable anterior (potato) no se ve afectada por estos problemas porque no contiene el código problemático.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.0.0-1.

Le recomendamos que actualice el paquete snort inmediatamente.

También se le aconseja que se actualice a la versión más reciente de Snort, porque Snort, como cualquier otro sistema de detección de intrusión, es bastante inútil si está basado es unos datos obsoletos y no actualizados. Tales instalaciones serían incapaces de detectar intrusiones que usen métodos modernos. La versión actual de Snort es la 2.0.0, mientras que la versión de la distribución estable (1.8) es bastante antigua y la de la distribución estable anterior está completamente desfasada.

Ya que Debian no actualiza normalmente los paquetes de las versiones estables, Snort sólo va a recibir actualizaciones para corregir problemas de seguridad. Se le aconseja que se actualice a la versión más reciente de las fuentes originales.

El responsable de Snort en Debian proporciona paquetes actualizados para woody (estable) y potato (estable anterior) en caso de que no quiera actualizar su sistema por completo. Estos paquetes no están probados y sólo están disponibles para la arquitectura i386:

deb     http://people.debian.org/~ssmeenk/snort-stable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-stable-i386/ ./

deb     http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.