Aviso de seguridad de Debian
DSA-297-1 snort -- desbordamiento de entero, desbordamiento de búfer
- Fecha del informe:
- 1 de may de 2003
- Paquetes afectados:
- snort
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 7178, Id. en BugTraq 6963.
En el diccionario CVE de Mitre: CVE-2003-0033, CVE-2003-0209.
Notas y avisos de incidentes y vulnerabilidades en CERT: VU#139129, VU#916785, CA-2003-13. - Información adicional:
-
Se han descubierto dos vulnerabilidades en Snort, un popular sistema de detección de intrusión en redes. Snort viene con módulos y plugins que realizan varias funciones como análisis de protocolos. Se han identificado los siguientes casos:
- Desbordamiento de pila en el preprocesador «stream4» de Snort
(VU#139129, CAN-2003-0209, Bugtraq Id 7178) - Los investigadores del CORE Security Technologies han descubierto un desbordamiento de entero explotable remotamente que se producía al sobreescribir la pila en el módulo preprocesador de «stream4». Este módulo permite a Snort reensamblar fragmentos de paquetes TCP para un análisis posterior. Un atacante podía insertar código arbitrario para que se ejecutara como el usuario que estuviera corriendo Snort, probablemente root.
- Desbordamiento de búfer en el preprocesador RPC de Snort
(VU#916785, CAN-2003-0033, Bugtraq Id 6963) - Los investigadores de Internet Security Systems X-Force han descubierto un desbordamiento de búfer explotable remotamente en el módulo preprocesador RPC de Snort. Snort comprobaba incorrectamente las longitudes de lo que se estaba normalizando con respecto al tamaño del paquete actual. Un atacante podía explotar esto para ejecutar código arbitrario con los privilegios del proceso Snort, probablemente de root.
Para la distribución estable (woody), estos problemas se han corregido en la versión 1.8.4beta1-3.1.
La distribución estable anterior (potato) no se ve afectada por estos problemas porque no contiene el código problemático.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 2.0.0-1.
Le recomendamos que actualice el paquete snort inmediatamente.
También se le aconseja que se actualice a la versión más reciente de Snort, porque Snort, como cualquier otro sistema de detección de intrusión, es bastante inútil si está basado es unos datos obsoletos y no actualizados. Tales instalaciones serían incapaces de detectar intrusiones que usen métodos modernos. La versión actual de Snort es la 2.0.0, mientras que la versión de la distribución estable (1.8) es bastante antigua y la de la distribución estable anterior está completamente desfasada.
Ya que Debian no actualiza normalmente los paquetes de las versiones estables, Snort sólo va a recibir actualizaciones para corregir problemas de seguridad. Se le aconseja que se actualice a la versión más reciente de las fuentes originales.
- Desbordamiento de pila en el preprocesador «stream4» de Snort
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.