Debian-Sicherheitsankündigung
DSA-297-1 snort -- Integer-Überlauf, Pufferüberlauf
- Datum des Berichts:
- 01. Mai 2003
- Betroffene Pakete:
- snort
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 7178, BugTraq ID 6963.
In Mitres CVE-Verzeichnis: CVE-2003-0033, CVE-2003-0209.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#139129, VU#916785, CA-2003-13. - Weitere Informationen:
-
Zwei Verwundbarkeiten wurden in Snort entdeckt, einem beliebten Netzwerk-Eindringungs-Erkennungs-System. Snort bringt Module und Plugins mit, die eine große Anzahl an Funktionen wie Protokoll-Analysen durchführen. Die folgenden Probleme wurden identifiziert:
- Heap-Überlauf im Snort "stream4"-Präprozessor
(VU#139129, CAN-2003-0209, Bugtraq Id 7178) - Forscher bei CORE Security Technologies haben einen entfernt ausnutzbaren Integer-Überlauf entdeckt, der dazu führt, dass der Heap im "stream4"-Präprozessor Modul überschrieben wird. Diese Modul erlaubt es Snort, TCP-Paket-Fragmente für weitere Analysen wieder zusammenzusetzen. Ein Angreifer könnte willkürlichen Code einbringen, der unter der Benutzerkennung ausgeführt wird, mit der Snort läuft, vermutlich als root.
- Pufferüberlauf im Snort RPC-Präprozessor
(VU#916785, CAN-2003-0033, Bugtraq Id 6963) - Forscher bei Internet Security Systems X-Force haben einen entfernt ausnutzbaren Pufferüberlauf im Snort RPC-Präprozessor Modul gefunden. Snort prüft die Länge unkorrekt, die gegen die aktuelle Paket-Größe normalisiert wird. Ein Angreifer könnte dies ausnutzen, um willkürlichen Code mit den Privilegien des Snort-Prozesses auszuführen, vermutlich als root.
Für die stable Distribution (Woody) wurden diese Probleme in Version 1.8.4beta1-3.1 behoben.
Die alte stable Distribution (Potato) ist nicht von diesen Problemen betroffen, da sie den problematischen Code nicht enthält.
Für die unstable Distribution (Sid) wurden diese Probleme in Version 2.0.0-1 behoben.
Wir empfehlen Ihnen, Ihre snort-Pakete unverzüglich zu aktualisieren.
Es wird ebenfalls empfohlen, auf die aktuellste Version von Snort zu aktualisieren, da Snort als ein Eindringungs-Erkennungs-System ziemlich nutzlos ist, wenn es auf alten und veralteten Daten basiert und nicht aktuell gehalten wird. Solchen Installationen wäre es nicht möglich, Einbrüche mittels moderner Methoden zu erkennen. Die aktuelle Version ist 2.0.0, während die Version in der stable Distribution (1.8) ziemlich alt ist, und die Version in der alte stable Distribution hoffnungslos ist.
Da Debian willkürliche Pakete in den stable-Releases nicht aktualisiert, nicht einmal Snort erhält andere Aktualisierungen außer Behebungen für Sicherheitsprobleme, wird es Ihnen empfohlen, auf die aktuellste Version von Quellen dritter zu aktualisieren.
- Heap-Überlauf im Snort "stream4"-Präprozessor
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.