10-19-2005, 03:38 PM
Se ha reportado una vulnerabilidad que afecta a Snort (sistema de código libre para detección de intrusiones en redes), la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario en un sistema afectado.
Resumen
Un error de límites en el manejo de paquetes UDP en el preprocesador de Back Orifice podrían permitir a un atacante remoto ejecutar código arbitrario en un sistema afectado.
Versiones Afectadas
Son afectadas por esta vulnerabilidad las siguientes versiones 2.4.0,
2.4.1 y 2.4.2 de Snort.
Detalle
Existe un error de límites que podría provocar un desbordamiento de buffer cuando el preprocesador de paquetes de Back Orifice determina la dirección (origen o destino) de un paquete UDP especialmente codificado.
El atacante que explotara exitosamente esta vulnerabilidad podría ejecutar código arbitrario en el sistema afectado. Snort corre con privilegios del usuario root o SYSTEM, por lo que el atacante podría tomar control completo del sistema afectado.
Cabe destacar que el ataque puede ser dirigido a un sensor Snort en forma directa o bien a cualquier equipo de una red monitoreada por Snort.
Impacto
El impacto de esta vulnerabilidad es ALTO
Recomendaciones
Se recomienda actualizar Snort a la versión 2.4.3: http://www.snort.org/dl/
Hasta tanto se aplique esta actualización, es recomendable deshabilitar el preprocesador de paquetes de Back Orifice de la siguiente forma:
Comentar la línea que carga el preprocesador afectado en el archivo de
configuración de Snort (generalmente /etc/snort.conf en entornos LINUX y UNIX):
[/etc/snort.conf]
...
#preprocessor bo
...
Luego reiniciar Snort para que se apliquen los el cambios.
Referencias
Alerta original
US-CERT
XForce
Secunia
Saludos!!!
Resumen
Un error de límites en el manejo de paquetes UDP en el preprocesador de Back Orifice podrían permitir a un atacante remoto ejecutar código arbitrario en un sistema afectado.
Versiones Afectadas
Son afectadas por esta vulnerabilidad las siguientes versiones 2.4.0,
2.4.1 y 2.4.2 de Snort.
Detalle
Existe un error de límites que podría provocar un desbordamiento de buffer cuando el preprocesador de paquetes de Back Orifice determina la dirección (origen o destino) de un paquete UDP especialmente codificado.
El atacante que explotara exitosamente esta vulnerabilidad podría ejecutar código arbitrario en el sistema afectado. Snort corre con privilegios del usuario root o SYSTEM, por lo que el atacante podría tomar control completo del sistema afectado.
Cabe destacar que el ataque puede ser dirigido a un sensor Snort en forma directa o bien a cualquier equipo de una red monitoreada por Snort.
Impacto
El impacto de esta vulnerabilidad es ALTO
Recomendaciones
Se recomienda actualizar Snort a la versión 2.4.3: http://www.snort.org/dl/
Hasta tanto se aplique esta actualización, es recomendable deshabilitar el preprocesador de paquetes de Back Orifice de la siguiente forma:
Comentar la línea que carga el preprocesador afectado en el archivo de
configuración de Snort (generalmente /etc/snort.conf en entornos LINUX y UNIX):
[/etc/snort.conf]
...
#preprocessor bo
...
Luego reiniciar Snort para que se apliquen los el cambios.
Referencias
Alerta original
US-CERT
XForce
Secunia
Saludos!!!