Рекомендация Debian по безопасности

DSA-297-1 snort -- целочисленное переполнение, переполнение буфера

Дата сообщения:

01.05.2003

Затронутые пакеты:

Уязвим:

Да

Ссылки на базы данных по безопасности:

В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 7178, Идентификатор BugTraq 6963.
В каталоге Mitre CVE: CVE-2003-0033, CVE-2003-0209.
База данных CERT по уязвимостям, предложениям и инцидентам: VU#139129, VU#916785, CA-2003-13.

Более подробная информация:

Обнаружены два уязвимых места в Snort, популярной системе обнаружения вторжений в сеть. Snort включает модули и плагины, предоставляющие разнообразные функции, такие как анализ протоколов. Идентифицированы следующие уязвимости:

Переполнение кучи в препроцессоре Snort "stream4"
(VU#139129, CAN-2003-0209, Bugtraq Id 7178)
Исследователи из CORE Security Technologies обнаружили выход за пределы допустимых целочисленных значений, который может быть использован удалённым нападающим, приводящий к перезаписи содержимого кучи в модуле препроцессора "stream4". Этот модуль позволяет Snort пересобрать фрагмента пакетов TCP для проведения дальнейшего анализа. Нападающий может вставить произвольный код, который будет выполнен от имени пользователя, запустившего Snort, вероятно, пользователя root.: Переполнение буфера в препроцессоре Snort RPC
(VU#916785, CAN-2003-0033, Bugtraq Id 6963)
Исследователи из Internet Security Systems X-Force обнаружили возможность переполнения буфера, которая может быть использована удалённым нападающим, в модуле препроцессора Snort RPC. Snort при нормализации чего-либо к текущей длине пакета некорректно проверяет его длину. Нападающий может, используя эту ошибку, выполнить произвольный код с привилегиями процесса Snort, вероятно, привилегиями пользователя root.

В стабильном дистрибутиве (woody) эти проблемы исправлены в версии 1.8.4beta1-3.1.

Старый стабильный дистрибутив (potato) не затронут, поскольку не содержит кода, в котором обнаружены ошибки.

В нестабильном дистрибутиве (sid) эти проблемы исправлены в версии 2.0.0-1.

Мы рекомендуем вам немедленно обновить пакет snort.

Мы также советуем обновить Snort до наиболее свежей версии, поскольку она, как и любая система обнаружения вторжений, становится бесполезной, если работает на основе устаревших данных. Старые версии могут не определить вторжения, использующие более современные методы. Текущая версия Snort имеет номер версии 2.0.0, версия в стабильном дистрибутиве (1.8) довольно стара, а в старом стабильном дистрибутиве совершенно безнадёжна.

Поскольку Debian не обновляет произвольные пакеты в стабильных выпусках, даже Snort не будет включать никаких обновлений, помимо исправления ошибок, связанных с безопасностью. Вам рекомендуется обновить систему до последней версии, используя исходный код от третьих лиц.

Сопровождающий пакета Snort Debian предоставляет обновлённые пакеты для woody (стабильный дистрибутив) и potato (старый стабильный дистрибутив) на случай, если вы не можете обновить всю систему целиком. Однако эти пакеты не тестировались и существуют только для архитектуры i386:

deb     http://people.debian.org/~ssmeenk/snort-stable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-stable-i386/ ./

deb     http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc; http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz; http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
Независимые от архитектуры компоненты:: http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb; http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
Alpha:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb; http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb; http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.