Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Sistema de Detección de Intrusos (Snort) vulnerable
 
VSantivirus No. 1015, Año 7, Viernes 18 de abril de 2003

Sistema de Detección de Intrusos (Snort) vulnerable
http://www.vsantivirus.com/vul-snort.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy



Han sido detectadas dos vulnerabilidades en el Sistema de Detección de Intrusos (IDS) Snort. Ambas pueden permitir a un atacante ejecutar código en forma arbitraria, con los privilegios del usuario que ejecute Snort, típicamente los de administrador local (root).

Son afectadas todas las versiones de la 1.8 a la 2.0 RC1 inclusive.

Snort contiene una variedad de módulos que le permiten al usuario incluir en el futuro nuevas funcionalidades en forma selectiva.

Las fallas se encuentran en dos de esos módulos, el preprocesador de reagrupación de fragmentos TCP "stream4" y el preprocesador "RPC". Ambas vulnerabilidades fueron reportadas casi simultáneamente por diferentes investigadores.

Vulnerabilidad en preprocesador "stream4"

La primera de las fallas se produce en el preprocesador "stream4", y se debe a un desbordamiento de heap, explotable en forma remota.

El término "heap" indica una porción de memoria disponible para un programa, también llamada área de memoria dinámica. El heap es el área en que la asignación y desasignación de memoria ocurre en orden aleatorio.

El módulo "stream4" permite a Snort reagrupar fragmentos de paquetes TCP para realizar un análisis más detallado.

Para explotar esta vulnerabilidad, un intruso debe enviar una serie de paquetes de datos con números de secuencia creados maliciosamente, lo que causa que los módulos eviten una verificación de un desbordamiento de búfer, y permite al atacante insertar código arbitrario en el heap.

Son vulnerables las versiones de Snort 1.8.x, 1.9.x y 2.0 anteriores a la versión RC1

Más información:

Boletín de Core Security Technologies
http://www.coresecurity.com/common/showdoc.php?idx=313&idxseccion=10

Aviso de Snort
http://www.snort.org/advisories/snort-2003-04-16-1.txt

Vulnerabilidad en preprocesador "RPC"

La segunda vulnerabilidad ocurre por un desbordamiento de búfer en el preprocesador RPC de Snort. RPC (Remote Procedure Call), es un estándar de llamadas a procedimientos en forma remota que se basa en el envío de mensajes entre máquinas a través de la infraestructura de una red.

Cuando el decodificador RPC intenta normalizar registros RPC fragmentados, al verificarlos calcula en forma incorrecta la longitud real del paquete, permitiendo un desbordamiento de búfer (el paquete puede ser más grande que el espacio asignado en memoria para él).

Es bueno recordar que este preprocesador está habilitado por defecto.

Esta falla afecta las versiones 1.8.x a 1.9.1 inclusive, y la 2.0 Beta.

Información adicional:

Boletín de IIS X-Force:
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21951

Impacto

Ambas vulnerabilidades, permiten a un atacante ejecutar código en forma arbitraria, con los privilegios del usuario que ejecuta Snort (generalmente root). No es necesario conocer la dirección IP del dispositivo Snort para explotar estas vulnerabilidades, siendo suficiente para hacerlo, el envío de tráfico malicioso.

Soluciones

La solución para ambas fallas está en actualizar a la versión 2.0 de Snort, disponible en los siguientes enlaces:

http://www.snort.org/dl/snort-2.0.0.tar.gz

Las versiones binarias de Snort están disponibles en:
http://www.snort.org/dl/binaries

Una solución temporal es modificar el archivo de configuración "snort.conf", comentando las siguientes líneas:

preprocessor stream4_reassemble
preprocessor rpc_decode: 111 32771

Después de comentar los módulos afectados, se debe enviar una señal SIGHUP al proceso Snort para actualizar la configuración.

De todos modos, esta solución temporal puede ocasionar otros problemas, al no ser detectadas ciertas condiciones durante el monitoreo, y solo debe tomarse como momentánea.


Más información:

CA-2003-13 Multiple Vulnerabilities in Snort Preprocessors
http://www.cert.org/advisories/CA-2003-13.html




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS