Säkerhetsbulletin från Debian
DSA-297-1 snort -- heltalsspill, buffertspill
- Rapporterat den:
- 2003-05-01
- Berörda paket:
- snort
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 7178, BugTraq-id 6963.
I Mitres CVE-förteckning: CVE-2003-0033, CVE-2003-0209.
CERTs information om sårbarheter, bulletiner och incidenter: VU#139129, VU#916785, CA-2003-13. - Ytterligare information:
-
Två sårbarheter har upptäckts i Snort, ett populärt system för att upptäcka intrång i nätverk. Med Snort följer moduler och insticksprogram som utför olika funktioner, till exempel analys av olika protokoll. Följande problem har identifierats:
-
Heap-spill i Snorts förtolk ”stream4”
(VU#139129, CAN-2003-0209, Bugtraq-id 7178) - Forskare vid CORE Security Technologies har upptäckt ett heltalsspill som kan utnyttjas utifrån till att skriva över heap:en i förtolkningsmodulen ”stream4”. Denna modul gör det möjligt för Snort att slå ihop TCP-paketfragment för ytterligare analys. En angripare kunde lägga in godtycklig kod som kom att exekveras under det användar-id som körde Snort, vanligtvis root.
-
Buffertspill i Snorts RPC-förtolk
(VU#916785, CAN-2003-0033, Bugtraq-id 6963) - Forskare vid Internet Security Systems X-Force har upptäckt ett buffertspill som kan utnyttjas utifrån i Snorts RPC-förtolkningsmodul. Snort testar på ett felaktigt sätt längden på det som normaliseras mot den aktuella paketlängden. En angripare kunde utnyttja detta till att exekvera godtycklig kod med de behörigheter Snortprocessen innehar, vanligtvis root.
För den stabila utgåvan (Woody) har dessa problem rättats i version 1.8.4beta1-3.1.
Den gamla stabila utgåvan (Potato) påverkas inte av dessa problem eftersom den inte innehåller koden som har problemen.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2.0.0-1.
Vi rekommenderar att ni uppgraderar ert snort-paket omedelbart.
Vi rekommenderar även att ni uppgraderar till den senaste versionen av Snort eftersom Snort, ett system för att upptäcka intrång, är rätt meningslöst om det är baserat på gammal och föråldrad data och inte hålls à jour, sådana installationer kommer inte att kunna upptäcka intrång med moderna metoder. Den aktuella versionen av Snort är 2.0.0 medan versionen i den stabila utgåvan (1.8) är rätt gammal och den i den gamla stabila utgåvan är bortom allt hopp.
Eftersom Debian inta godtyckligt uppdaterar paket i de stabila utgåvorna kommer inte ens Snort att se uppdateringar utöver de som rättat säkerhetsproblem, varför vi rekommenderar att ni uppgraderar till den senaste versionen från tredjepartskällor.
-
Heap-spill i Snorts förtolk ”stream4”
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.dsc
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1.orig.tar.gz
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/s/snort/snort-doc_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-rules-default_1.8.4beta1-3.1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_alpha.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_arm.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_i386.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_ia64.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_hppa.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_m68k.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mips.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_mipsel.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_powerpc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_s390.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/s/snort/snort_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-mysql_1.8.4beta1-3.1_sparc.deb
- http://security.debian.org/pool/updates/main/s/snort/snort-common_1.8.4beta1-3.1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.