Debians sikkerhedsbulletin
DSA-297-1 snort -- heltalsoverløb, bufferoverløb
- Rapporteret den:
- 1. maj 2003
- Berørte pakker:
- snort
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7178, BugTraq-id 6963.
I Mitres CVE-ordbog: CVE-2003-0033, CVE-2003-0209.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#139129, VU#916785, CA-2003-13. - Yderligere oplysninger:
-
To sårbarheder er opdaget i Snort, et populært system til opdagelse af netværksindtrængen. Der følger moduler og indstik (plugins) med Snort, som kan udføre forskellige funktioner såsom protokolanalyse. Man har fundet frem til følgende problemer:
- Stakoverløb i Snorts "stream4" præ-processor
(VU#139129, CAN-2003-0209, Bugtraq Id 7178) - Forskere hos CORE Security Technologies har opdaget et heltalsoverløb der kan fjernudnyttes og som resulterer i overskrivelse af stakken i præprocessormodulet "stream4" preprocessor module. Dette modul gør det muligt for Snort at genopbygge TCP-pakkefragmenter til nærmere analyse. En angriber kunne indsætte vilkårlig kode, der kunne udføres som brugeren, der kørte Snort, formentlig root.
- Bufferoverløb i Snorts RPC-præprocessor
(VU#916785, CAN-2003-0033, Bugtraq Id 6963) - Forskere hos Internet Security Systems X-Force har opdaget et bufferoverløb i Snorts RPC-præprocessor, som kan fjernudnyttes. Snort kontrollerer ukorrekt længden af, hvad der normaliseres mod den aktuelle pakkestørrelse. En angriber kunne udnytte dette til at udføre vilkårlig kode med rettighederne hørende til Snort-processen, formentlig root.
I den stabile distribution (woody) er disse problemer rettet i version 1.8.4beta1-3.1.
Den gamle stabile distribution (potato) er ikke påvirket af disse problemer, da den ikke indeholder den problematiske kode.
I den ustabile distribution (sid) er disse problemer rettet i version 2.0.0-1.
Vi anbefaler at du omgående opgraderer din snort-pakke.
Det anbefales at opgradere til den seneste version af Snort, da Snort, som ethvert system til opdagelse af indtrængen, er mere eller mindre ubrugelig, hvis den er baseret på gamle og forældede oplysninger, og ikke er føres ajour. Sådanne installationer vil ikke kunne opdage indtrængen ved hjælp af moderne metoder. Den aktuelle version af Snort er 2.0.0, mens versionen i den stabile distribution (1.8) er ganske gammel og versionen i den gamle stabile distribution er håbløst forældet.
Da Debian ikke opdaterer vilkårlige pakker i stabile udgaver, vil ikke engang Snort blive opdateret i andre sammenhænge, end i forbindelse med rettelse af sikkerhedsproblemer, anbefales det, at du opgraderer til den seneste version fra en trediepartskilde.
- Stakoverløb i Snorts "stream4" præ-processor
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.