セキュリティ情報 / 2003 / セキュリティ情報 -- DSA-297-1 snort

Debian セキュリティ勧告

DSA-297-1 snort -- 整数オーバフロー、バッファオーバフロー

報告日時:

2003-05-01

影響を受けるパッケージ:

snort

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 7178, BugTraq ID 6963.
Mitre の CVE 辞書: CVE-2003-0033, CVE-2003-0209.
CERT の脆弱性リスト、勧告および付加情報: VU#139129, VU#916785, CA-2003-13.

詳細:

人気のあるネットワーク侵入検知システム Snort に脆弱性が 2 件発見されました。Snort はモジュールおよびプラグイン機構を備えていて、 プロトコル分析等の様々な機能を実行できます。以下の問題が認識されています:

「stream4」プリプロセッサにヒープオーバーフロー
(VU#139129, CAN-2003-0209, Bugtraq Id 7178)

CORE Security Technologies の研究者がリモートから悪用可能な整数オーバフローを発見しました。 結果として「stream4」プリプロセッサモジュールのヒープを上書きします。 このモジュールにより Snort は TCP パケットの断片を組み立て直して詳細な分析を行うことができます。 攻撃者は任意のコードを送り込み、Snort を実行しているユーザ、恐らくは root で実行させることが可能です。

Snort RPC プリプロセッサにバッファオーバフロー
(VU#916785, CAN-2003-0033, Bugtraq Id 6963)

Internet Security Systems X-Force の研究者が Snort RPC プリプロセッサモジュールにリモートから悪用可能なバッファオーバフローを発見しました。Snort は現在のパケットサイズに対して正規化した後の長さを正しく確認していません。 攻撃者はこれを悪用して Snort プロセス、恐らく root の権限で任意のコードを実行することが可能です。

安定版 (stable) ディストリビューション (woody) では、この問題はバージョン 1.8.4beta1-3.1 で修正されています。

旧安定版 (old stable) ディストリビューション (potato) には問題のあるコードがは含まれないため、この問題の影響はありません。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.0.0-1 で修正されています。

直ちに snort パッケージをアップグレードすることを勧めます。

また、最新版の Snort へのアップグレードを勧めます。 Snort、またあらゆる侵入検知システムというものは、 古くなったデータを元にしていて最新が維持されない場合、 あまり役に立つものではないためです。 こういった状態では、新しい方法による侵入を検出できない場合があります。 Snort の現在のバージョンは 2.0.0 ですが、安定版 (stable) ディストリビューションのバージョン (1.8) はかなり古く、旧安定版 (old stable) ディストリビューションに至ってはどうしようもありません。

Debian が安定版 (stable) リリースで特定のパッケージを更新することなく、また、 Snort がセキュリティ問題の修正以外に更新を行うとは考えられないため、 サードパーティのソースから最新版へアップグレードすることを勧めます。

修正:

Debian GNU/Linux 3.0 (woody)

ソース:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz

アーキテクチャ非依存コンポーネント:

http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb

http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb

Alpha:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb

http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb

http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。