Una vulnerabilidad de desbordamiento de pila (stack buffer overflow) en el preprocesador de DCE/RPC de Sourcefire Snort podría permitir a un intruso remoto, no autenticado ejecutar código arbitrario con privilegios del proceso de Snort.
Snort | == | 2.6.1, 2.6.1.1, 2.6.1.2, 2.7.0 beta 1 |
Sourcefire Intrusion Sensors | == | 4.1.x, 4.5.x, y 4.6x con SEUs anteriores a SEU 64 |
Sourcefire Intrusion Sensors for Crossbeam | == | 4.1.x, 4.5.x, y 4.6x con SEUs anteriores a SEU 64 |
Sourcefire Snort es una herramienta de software libre para la detección de intrusos ampliamente utilizada, Snort se incluye en varias distribuciones de sistemas operativos. El preprocesador DCE/RPC ensambla paquetes SBM y DCE/RPC fragmentados antes de que la información sea analizada por las reglas de Snort.
El código vulnerable no ensambla apropiadamente ciertos paquetes SMB y DCE/RPC. Un atacante podría explotar esta vulnerabilidad enviando paquetes TCP creados maliciosamente a un equipo o red que es monitoreada con Snort. El preprocesador DCE/RPC está habilitado de forma predeterminada, y el atacante no necesita completar una conexión TCP.
US-CERT esta etiquetando esta vulnerabilidad como VU#196240. A esta vulnerabilidad se le ha asignado el siguiente número CVE CVE-2006-5276. Información adicional esta disponible en los boletines de Sourcefire e ISS.
Un atacante remoto no autenticado podría ser capaz de ejecutar código arbitrario con privilegios del preprocesador de Snort.
US-CERT Nota de vulnerabilidad VU#196240
Aviso de Sourcefire 2007-02-19
Servicio de Soporte Sourcefire
Nota de publicación de Snort Sourcefire 2.6.1.3
Actualización:
Snort 2.6.1.3 está disponible desde el sitio oficial de Snort. Los clientes de sourcefire deberán visitar el sitio de inicio de sesión para soporte de Sourcefire.
Deshabilitar el preprocesador DCE/RPC:
Para deshabilitar el preprocesador DCE/RPC, comente la línea que carga el preprocesador en el archivo de configuración de Snort (generalmente /etc/snort.conf en sistemas UNIX y Linux):
[/etc/snort.conf]
...
#preprocessor dcerpc...
...
Reinicie el proceso de Snort para que los cambios tengan efecto.
Deshabilitando el preprocesador evitará que Snort ensamble paquetes SMB y DCE/RPC fragmentados. Esto podría permitir que los atacantes evadan el IDS.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT