Säkerhetsbulletin från Debian

DSA-297-1 snort -- heltalsspill, buffertspill

Rapporterat den:
2003-05-01
Berörda paket:
snort
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7178, BugTraq-id 6963.
I Mitres CVE-förteckning: CVE-2003-0033, CVE-2003-0209.
CERTs information om sårbarheter, bulletiner och incidenter: VU#139129, VU#916785, CA-2003-13.
Ytterligare information:

Två sårbarheter har upptäckts i Snort, ett populärt system för att upptäcka intrång i nätverk. Med Snort följer moduler och insticksprogram som utför olika funktioner, till exempel analys av olika protokoll. Följande problem har identifierats:

Heap-spill i Snorts förtolk ”stream4”
(VU#139129, CAN-2003-0209, Bugtraq-id 7178)
Forskare vid CORE Security Technologies har upptäckt ett heltalsspill som kan utnyttjas utifrån till att skriva över heap:en i förtolkningsmodulen ”stream4”. Denna modul gör det möjligt för Snort att slå ihop TCP-paketfragment för ytterligare analys. En angripare kunde lägga in godtycklig kod som kom att exekveras under det användar-id som körde Snort, vanligtvis root.
Buffertspill i Snorts RPC-förtolk
(VU#916785, CAN-2003-0033, Bugtraq-id 6963)
Forskare vid Internet Security Systems X-Force har upptäckt ett buffertspill som kan utnyttjas utifrån i Snorts RPC-förtolkningsmodul. Snort testar på ett felaktigt sätt längden på det som normaliseras mot den aktuella paketlängden. En angripare kunde utnyttja detta till att exekvera godtycklig kod med de behörigheter Snortprocessen innehar, vanligtvis root.

För den stabila utgåvan (Woody) har dessa problem rättats i version 1.8.4beta1-3.1.

Den gamla stabila utgåvan (Potato) påverkas inte av dessa problem eftersom den inte innehåller koden som har problemen.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.0.0-1.

Vi rekommenderar att ni uppgraderar ert snort-paket omedelbart.

Vi rekommenderar även att ni uppgraderar till den senaste versionen av Snort eftersom Snort, ett system för att upptäcka intrång, är rätt meningslöst om det är baserat på gammal och föråldrad data och inte hålls à jour, sådana installationer kommer inte att kunna upptäcka intrång med moderna metoder. Den aktuella versionen av Snort är 2.0.0 medan versionen i den stabila utgåvan (1.8) är rätt gammal och den i den gamla stabila utgåvan är bortom allt hopp.

Eftersom Debian inta godtyckligt uppdaterar paket i de stabila utgåvorna kommer inte ens Snort att se uppdateringar utöver de som rättat säkerhetsproblem, varför vi rekommenderar att ni uppgraderar till den senaste versionen från tredjepartskällor.

Debians ansvariga för Snort tillhandahåller bakåtanpassade paket av den aktuella versionen för Woody (den stabila utgåvan) och Potato (den gamla stabila utgåvan) för de av er som inte kan uppgradera hela systemet. Dessa paket är dock otestade och finns bara för i386-arkitekturen:

deb     http://people.debian.org/~ssmeenk/snort-stable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-stable-i386/ ./

deb     http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
deb-src http://people.debian.org/~ssmeenk/snort-oldstable-i386/ ./
Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.