Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Snort RPC Preprocessing : Buffer Overflow

21/01/2007 02H45
Référence Secunia : SA8195 
Date de publication : 2003-03-03

Risque : Elevé. Niveau 4 sur 5.
Impact : Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Snort 1.9.x

Référence CVE :
CVE-2003-0033


Description :
A highly critique boundary error a été identifiée dans le popular open-source Intrusion Detection System (IDS) Snort.

The non-checked buffer existe dans le RPC preprocessing code, depuis Snort ne vérifie pas the fragmented packet size contre le remaining space dans le preprocessing buffer.

Une personne malicieuse peut exploiter cela en envoyant specially crafted fragmented RPC packets à an arbitrary system sur un network surveillé par Snort provoquant un buffer overflow.

L'exploitation de ce problème does not generate any log entrées et permet l'exécution de commandes arbitraires sur the IDS avec les mêmes privilèges que Snort (often "root").

Il a furthermore été rapporté que protection mechanisms comme implémentation de a non-executable stack ne pas offer any protection depuis l'exploitation de cette vulnérabilité.


Solutions :
Mettre à jour en version 1.9.1:
http://www.snort.org/dl/snort-1.9.1.tar.gz

As a temporaire workaround désactiver the RPC preprocessou par commenting out la ligne suivante dans "snort.conf":

preprocessor rpc_decode

De plus, Snort devrait être configuré à tourner comme un utilisateur peu privilégié dans a chrooted environment. Ceci reduces l'impact de a avec succès exploitée vulnérabilité giving system administrators more time à react si un système est compromis.


Vulnérabilité découverte par :

ISS X-Force

Référence :
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21951


Autres références :

http://www.kb.cert.org/vuls/id/916785




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.