Alerta de Segurança Debian

DSA-297-1 snort -- overflow de inteiros, buffer overflow

Data do Alerta:
01 Mai 2003
Pacotes Afetados:
snort
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 7178, ID BugTraq 6963.
No dicionário CVE do Mitre: CVE-2003-0033, CVE-2003-0209.
Alertas, notas de incidentes e vulnerabilidades do CERT: VU#139129, VU#916785, CA-2003-13.
Informações adicionais:

Duas vulnerabilidades foram descobertas no Snort, um sistema de detecção de intrusão de rede popular. O Snort vem como módulos e plugins que realizam uma variedade de funções, como análise de protocolo. Os seguintes problemas foram identificados:

Overflow de pilha no pré-processador "stream4" do Snort
(VU#139129, CAN-2003-0209, Bugtraq Id 7178)
Pesquisadores da CORE Security Technologies descobriram um overflow de inteiros explorável remotamente que resulta na sobreescrita na pilha no módulo pré-processados "stream4". Este módulo permite que o Snort junte fragmentos de pacotes TCP para futura análise. Um atacante pode inserir código arbitrário que pode ser executado como o usuário que está rodando o Snort, provavelmente o root.
Buffer overflow no pré-processador RPC do Snort
(VU#916785, CAN-2003-0033, Bugtraq Id 6963)
Pesquisadores do Internet Security Systems X-Force descobriram um buffer overflow remotamente explorável no módulo pré-processador RPC. O Snort checa incorretamente o comprimento do que está sendo normalizado contra o tamanho atual do pacote. Um atacante pode explorar isso para executar código arbitrário sob os privilégios do processo Snort, provavelmente o root.

Na atual distribuição estável (woody), este problema foi corrigido na versão 1.8.4beta1-3.1.

A antiga distribuição estável (potato), não foi afetada por este problema, uma vez que não contém o código problemático.

Na distribuição instável (sid), este problema foi corrigido na versão 2.0.0-1.

Nós recomendamos que você atualize seus pacotes snort imediatamente.

Você também está alertado para atualizar as mais recentes versões do Snort, uma vez que ele, como qualquer sistema de detecção de intrusão, é inutilizável se estiver baseado em dados antigos e desatualizados e não é mantido atualizado. Tais instalações não poderão detectar intrusões usando métodos modernos. A atual versão do Snort é a 2.0.0, enquanto a versão na distribuição estável (1.8) é bastante antiga e a da antiga distribuição estável é totalmente inutilizável.

Uma vez que o Debian não atualiza pacotes arbitrários na versão estável, e até mesmo o Snort não terá outras atualizações além de correções de segurança, você está alertado a atualizar as mais recentes versões a partir de código fonte de terceiros.

O mantenedor do Snort no Debian forneceu backports para a woody (estável) e a potato (antiga estável) caso você não possa atualizar todo seu sistema. Estes pacotes não foram testados e são somente para a arquitetura i386:

deb     http://people.debian.org/~ssmeenk/snort-stable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-stable-i386/ ./

deb     http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.