Bulletin d'alerte Debian

DSA-297-1 snort -- Dépassements d'entier et de tampon

Date du rapport :
1er mai 2003
Paquets concernés :
snort
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 7178, Identifiant BugTraq 6963.
Dans le dictionnaire CVE du Mitre : CVE-2003-0033, CVE-2003-0209.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : VU#139129, VU#916785, CA-2003-13.
Plus de précisions :

Deux failles de sécurité ont été découvertes dans Snort, un système populaire de détection d'intrusions réseau. Snort est fourni avec des modules et d'autres ajouts logiciels qui réalisent une variété de fonctions comme l'analyse de protocole. Les points suivants ont été identifiés :

Dépassement de l'espace mémoire du préprocesseur "stream4" de Snort
(VU#139129, Peut-2003-0209, Bugtraq Id 7178)
Des chercheurs de CORE Security Technologies ont découvert un dépassement d'entier exploitable à distance qui écrase l'espace mémoire du module du préprocesseur « stream4 ». Ce module permet à Snort de réassembler les fragments de paquet TCP pour une analyse a posteriori. Un attaquant pouvait insérer n'importe quel code qui serait exécuté sous l'identité de l'utilisateur utilisant Snort, probablement root.
Dépassement de tampon dans le préprocesseur RPC de Snort
(VU#916785, Peut-2003-0033, Bugtraq Id 6963)
Des chercheurs de Internet Security Systems X-Force ont découvert un dépassement de tampon exploitable à distance dans le module du préprocesseur RPC de Snort. Snort ne vérifie pas correctement les longueurs de ce qui a été normalisé par rapport à la taille du paquet courant. Un attaquant pouvait exploiter ceci pour exécuter n'importe quel code avec les privilèges du processus Snort, probablement root.

Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.8.4beta1-3.1.

L'ancienne distribution stable (Potato) n'est pas affectée par ce problème.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.0.0-1.

Nous vous recommandons de mettre à jour votre paquet snort immédiatement.

On vous conseille de mettre à jour Snort avec la dernière version, étant donné que Snort, comme tout système de détection d'intrusion, est sûrement inutile s'il est basé sur des données vieilles et obsolètes. De telles installations seraient incapables de détecter les intrusions basées sur des méthodes modernes. La version actuelles de Snort est 2.0.0, alors que la version de la distribution stable (1.8) est relativement âgée et celle de l'ancienne distribution stable est sans espoir.

Étant donné que Debian ne met pas à jour n'importe quel paquet dans les sorties stables, même Snort ne va pas être mis à jour sauf pour corriger des problèmes de sécurité, on vous conseille de mettre à jour depuis les sources de tierce partie avec la version la plus récente.

Le responsable Debian pour Snort fournit des paquets rétroportés mis à jour Woody (stable) et Potato (anciennement stable) au cas où vous ne pourriez pas mettre à jour votre système. Ces paquets ne sont pas testés, cependant il n'existe que pour l'architecture i386 :

deb     http://people.debian.org/~ssmeenk/snort-stable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-stable-i386/ ./

deb     http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.