Dziurawy Snort

Sourcefire poinformowało o odkryciu dziury w opensource’owym systemie wykrywania włamań Snort.

Luka umożliwia zainstalowanie dowolnego kodu w systemie monitorującym i przejęcie całkowitej kontroli nad zarażoną maszyną. Dziura związana jest z błędem przepełnienia bufora w protokole DCE/RPC. Jest on co prawda domyślnie aktywny, jednak zwykle generowany przez niego ruch jest blokowany na firewallu. Dlatego też większość użytkowników Snorta nie powinna być narażona na niebezpieczeństwo.

Luki wykryto w wersjach 2.6.1, 2.6.1.1 oraz 2.6.1.2 oraz 2.7.0. Problem rozwiązuje zainstalowanie wersji 2.6.1.3. Dla Snort 2.7.0 poprawki nie zostały jeszcze opublikowane. Specjaliści radzą, by użytkownicy tej wersji wyłączyli DCE/RPC. By to zrobić należy w pliku snort.conf dokonać następującego wpisu:

#preprocessor dcerpc: \
# autodetect \
# max_frag_size 3000 \
# memcap 100000

Snort to bardzo silny sieciowy system wykrywania ataków (ang. Network Intrusion Detection System, NIDS), który daje szeroki zakres mechanizmów detekcji, mogących w czasie rzeczywistym dokonywać analizy ruchu i rejestrowania pakietów w sieciach opartych na protokołach IP/TCP/UDP/ICMP. Potrafi przeprowadzać analizę strumieni pakietów, wyszukiwać i dopasowywać podejrzane treści, a także wykrywać wiele ataków i anomalii, takich jak przepełnienia bufora, skanowanie portów typu stealth, ataki na usługi WWW, SMB, próby wykrywania systemu operacyjnego i wiele innych.

Źródło: ArcaBit

Realizacja: SIPLEX Studio