Рекомендация Debian по безопасности
DSA-297-1 snort -- целочисленное переполнение, переполнение буфера
- Дата сообщения:
- 01.05.2003
- Затронутые пакеты:
- snort
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 7178, Идентификатор BugTraq 6963.
В каталоге Mitre CVE: CVE-2003-0033, CVE-2003-0209.
База данных CERT по уязвимостям, предложениям и инцидентам: VU#139129, VU#916785, CA-2003-13. - Более подробная информация:
-
Обнаружены два уязвимых места в Snort, популярной системе обнаружения вторжений в сеть. Snort включает модули и плагины, предоставляющие разнообразные функции, такие как анализ протоколов. Идентифицированы следующие уязвимости:
- Переполнение кучи в препроцессоре Snort "stream4"
(VU#139129, CAN-2003-0209, Bugtraq Id 7178) - Исследователи из CORE Security Technologies обнаружили выход за пределы допустимых целочисленных значений, который может быть использован удалённым нападающим, приводящий к перезаписи содержимого кучи в модуле препроцессора "stream4". Этот модуль позволяет Snort пересобрать фрагмента пакетов TCP для проведения дальнейшего анализа. Нападающий может вставить произвольный код, который будет выполнен от имени пользователя, запустившего Snort, вероятно, пользователя root.
- Переполнение буфера в препроцессоре Snort RPC
(VU#916785, CAN-2003-0033, Bugtraq Id 6963) - Исследователи из Internet Security Systems X-Force обнаружили возможность переполнения буфера, которая может быть использована удалённым нападающим, в модуле препроцессора Snort RPC. Snort при нормализации чего-либо к текущей длине пакета некорректно проверяет его длину. Нападающий может, используя эту ошибку, выполнить произвольный код с привилегиями процесса Snort, вероятно, привилегиями пользователя root.
В стабильном дистрибутиве (woody) эти проблемы исправлены в версии 1.8.4beta1-3.1.
Старый стабильный дистрибутив (potato) не затронут, поскольку не содержит кода, в котором обнаружены ошибки.
В нестабильном дистрибутиве (sid) эти проблемы исправлены в версии 2.0.0-1.
Мы рекомендуем вам немедленно обновить пакет snort.
Мы также советуем обновить Snort до наиболее свежей версии, поскольку она, как и любая система обнаружения вторжений, становится бесполезной, если работает на основе устаревших данных. Старые версии могут не определить вторжения, использующие более современные методы. Текущая версия Snort имеет номер версии 2.0.0, версия в стабильном дистрибутиве (1.8) довольно стара, а в старом стабильном дистрибутиве совершенно безнадёжна.
Поскольку Debian не обновляет произвольные пакеты в стабильных выпусках, даже Snort не будет включать никаких обновлений, помимо исправления ошибок, связанных с безопасностью. Вам рекомендуется обновить систему до последней версии, используя исходный код от третьих лиц.
- Переполнение кучи в препроцессоре Snort "stream4"
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.