Eine kritische Sicherheitslücke im als Open Source verfügbaren Intrusion-Detection-System (IDS) Snort ermöglicht das Ausführen von beliebigen Code. Das berichtet das Sicherheitsunternehmen CoreLabs in einem Advisory. Der Fehler steckt im steam4-Preprocessor, der TCP-Pakete zusammensetzt, bevor sie weiter analysiert werden.
Durch einen ungeprüften Puffer beim Preprocessing kann ein Angreifer einen Heap Overflow in steam4 provozieren, was nicht nur Denial-of-Service-Angriffe ermöglicht, sondern auch das Ausführen von beliebigem Programmcode mit den Rechten des Snort-Prozesses. Da Snort für gewöhnlich mit Root-Rechten läuft, ist die Lücke besonders kritisch. Zudem braucht der Angreifer nicht zu wissen, auf welchem Host Snort genau läuft; es reicht, modifizierte TCP-Pakete in ein Netz zu schicken, das von Snort überwacht wird.
Betroffen sind alle Snort-Versionen 1.8.x und 1.9.x sowie die Version 2.0 vor dem Release Candidate 1 (RC1). Ebenso anfällig sind andere Intrusion-Detection-Systeme und Sicherheitsapplikationen, die auf Snort-Modulen beruhen. Es ist dringend anzuraten, auf die aktuelle Snort-Version 2.0 zu aktualisieren, die als Quellcode und Binary zur Verfügung steht.
Ein Workaround besteht darin, in der Snort-Konfigurationsdatei (für gewöhnlich snort.conf) den steam4-Preprozessor auszukommentieren (# preprocessor stream4_reassemble) -- dann können allerdings diverse Angriffe am IDS vorbeigereicht werden. (pab/c't)
Quelle:
http://www.heise.de/newsticker/data/pab-16.04.03-000/
Durch einen ungeprüften Puffer beim Preprocessing kann ein Angreifer einen Heap Overflow in steam4 provozieren, was nicht nur Denial-of-Service-Angriffe ermöglicht, sondern auch das Ausführen von beliebigem Programmcode mit den Rechten des Snort-Prozesses. Da Snort für gewöhnlich mit Root-Rechten läuft, ist die Lücke besonders kritisch. Zudem braucht der Angreifer nicht zu wissen, auf welchem Host Snort genau läuft; es reicht, modifizierte TCP-Pakete in ein Netz zu schicken, das von Snort überwacht wird.
Betroffen sind alle Snort-Versionen 1.8.x und 1.9.x sowie die Version 2.0 vor dem Release Candidate 1 (RC1). Ebenso anfällig sind andere Intrusion-Detection-Systeme und Sicherheitsapplikationen, die auf Snort-Modulen beruhen. Es ist dringend anzuraten, auf die aktuelle Snort-Version 2.0 zu aktualisieren, die als Quellcode und Binary zur Verfügung steht.
Ein Workaround besteht darin, in der Snort-Konfigurationsdatei (für gewöhnlich snort.conf) den steam4-Preprozessor auszukommentieren (# preprocessor stream4_reassemble) -- dann können allerdings diverse Angriffe am IDS vorbeigereicht werden. (pab/c't)
Quelle:
http://www.heise.de/newsticker/data/pab-16.04.03-000/