Bulletin d'alerte Debian
DSA-297-1 snort -- Dépassements d'entier et de tampon
- Date du rapport :
- 1er mai 2003
- Paquets concernés :
- snort
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 7178, Identifiant BugTraq 6963.
Dans le dictionnaire CVE du Mitre : CVE-2003-0033, CVE-2003-0209.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : VU#139129, VU#916785, CA-2003-13. - Plus de précisions :
-
Deux failles de sécurité ont été découvertes dans Snort, un système populaire de détection d'intrusions réseau. Snort est fourni avec des modules et d'autres ajouts logiciels qui réalisent une variété de fonctions comme l'analyse de protocole. Les points suivants ont été identifiés :
- Dépassement de l'espace mémoire du préprocesseur "stream4" de Snort
(VU#139129, Peut-2003-0209, Bugtraq Id 7178) - Des chercheurs de CORE Security Technologies ont découvert un dépassement d'entier exploitable à distance qui écrase l'espace mémoire du module du préprocesseur « stream4 ». Ce module permet à Snort de réassembler les fragments de paquet TCP pour une analyse a posteriori. Un attaquant pouvait insérer n'importe quel code qui serait exécuté sous l'identité de l'utilisateur utilisant Snort, probablement root.
- Dépassement de tampon dans le préprocesseur RPC de Snort
(VU#916785, Peut-2003-0033, Bugtraq Id 6963) - Des chercheurs de Internet Security Systems X-Force ont découvert un dépassement de tampon exploitable à distance dans le module du préprocesseur RPC de Snort. Snort ne vérifie pas correctement les longueurs de ce qui a été normalisé par rapport à la taille du paquet courant. Un attaquant pouvait exploiter ceci pour exécuter n'importe quel code avec les privilèges du processus Snort, probablement root.
Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 1.8.4beta1-3.1.
L'ancienne distribution stable (Potato) n'est pas affectée par ce problème.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.0.0-1.
Nous vous recommandons de mettre à jour votre paquet snort immédiatement.
On vous conseille de mettre à jour Snort avec la dernière version, étant donné que Snort, comme tout système de détection d'intrusion, est sûrement inutile s'il est basé sur des données vieilles et obsolètes. De telles installations seraient incapables de détecter les intrusions basées sur des méthodes modernes. La version actuelles de Snort est 2.0.0, alors que la version de la distribution stable (1.8) est relativement âgée et celle de l'ancienne distribution stable est sans espoir.
Étant donné que Debian ne met pas à jour n'importe quel paquet dans les sorties stables, même Snort ne va pas être mis à jour sauf pour corriger des problèmes de sécurité, on vous conseille de mettre à jour depuis les sources de tierce partie avec la version la plus récente.
- Dépassement de l'espace mémoire du préprocesseur "stream4" de Snort
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.