Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1355

[Generic/SNORT] Pufferüberlaufschwachstelle in SNORT
(2007-02-21 09:32:02.331092+00)

Quelle: http://www.snort.org/docs/advisory-2007-02-19.html

Eine Pufferüberlaufschwachstelle im Intrusion Detection System SNORT der Versionen 2.6.1, 2.6.1.1 und 2.6.1.2 sowie 2.7.0 beta 1 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen.

Betroffene Systeme

Kommerzielle Versionen:

Nicht betroffene Systeme

Kommerzielle Versionen:

Einfallstor
DCE/RPC-Paket oder SMB-Paket an ein überwachtes System oder Netzwerk

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des SNORT-Prozesses über ein Netzwerk. Da dies üblicherweise root- oder SYSTEM-Privilegien sind, führt dies zu einer Kompromittierung des beherbergenden Rechnersystems.
(remote system compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext

Beschreibung
Eine Pufferüberlaufschwachstelle im DCE/RPC-Präprozessor-Modul des Intrusion Detection Systems (IDS) SNORT der Versionen 2.6.1, 2.6.1.1 und 2.6.1.2 sowie 2.7.0 beta 1 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Dabei ist es ausreichend, wenn der Angreifer speziell präparierte DCE/RPC oder SMB-Pakete in eine Netzwerk schicken kann, das von der verwundbaren SNORT-Installation überwacht wird.

Da SNORT normalerweise mit root- oder SYSTEM-Privilegien läuft, führt ein erfolgreicher Angriff zur Kompromittierung des beherbergenden Rechnersystems. Durch die meist sehr zentrale Platzierung eines IDS in einem zu überwachenden Netz, stellt dessen Kompromittierung eine besondere Bedrohung dieses Netzwerkes dar.

Trotz zahlreicher Warnungen gibt es Installationen, in denen Microsoft Windows-Domänen über Firewalls hinweg ausgedehnt werden und so SMB- bzw. CIFS-Datenverkehr (s. http://de.wikipedia.org/wiki/Server_Message_Block) nicht gefiltert werden kann. In diesen Konfigurationen sind Angriffe auf ein gegen diese Schwachstelle verwundbares SNORT-System von außerhalb des durch die Firewall abgesicherten Netzwerkes möglich.

Die neu bereitgestellte Version SNORT 2.6.1.3 ist nicht gegen diese Schwachstelle verwundbar und es wird empfohlen, bestehende Installationen des 2.6.x-Zweiges auf diese Version zu aktualisieren. Alternativ kann zur Behebung des Problems der DCE/RPC-Präprozessor abgeschaltet werden. Benutzer des 2.7.x-Zweiges müssen derzeit diese Maßnahme durchführen, da es noch keine neue Version gibt, die das Problem behebt.

Gegenmaßnahmen
Installation der nicht verwundbaren Versionen

Kommerzielle Versionen:

Workaround

Eine solche Maßnahme behebt zwar nicht die Schwachstelle, schränkt aber die Möglickeiten eines Angriffs auf die Rechnersysteme ein, die innerhalb dieses Netzwerkes stehen. Trotzdem sollte des Gefahrenpotential auch einer solchermaßen eingeschränkten Menge potentieller Angreifer nicht unterschätzt werden, da ein Rechnersystem auf dem ein IDS installiert ist, eine solch zentrale Position in dem Netzwerk hat, dass es ein lohnendes Angriffsziel darstellt. In mehrstufigen Angriffsszenarien, bei denen zunächst z.B. Arbeitsplatzsysteme angegriffen werden und danach das IDS, wäre diese Maßnahme nicht wirksam.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1355