CERT-FI haavoittuvuustiedote 015/2003

3.3.2003

Haavoittuvuus Snort-ohjelmistossa


Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- käyttövaltuuksien laajentaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Snort on yleisesti käytetty tunkeutumisenhavaitsemisjärjestelmä (IDS, Intrusion Detection System). Snort-ohjelmiston RPC-hyökkäysten havainnointikoodista on löydetty puskuriylivuotohaavoittuvuus, mikä mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen Snort-ohjelmiston oikeuksilla, tyypillisesti pääkäyttäjänä. Haavoittuvuus aktivoituu kun Snort-järjestelmän valvomassa verkkoliikenteessä välitetään hyökkäystä varten kehitetty RPC-paketti

HAAVOITTUVAT OHJELMISTOT:

Snort 1.8 (Heinäkuu 2001) aina Snort-Current -versioon asti (3.3.2003 klo 19)

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä Snort-ohjelmisto versioon 1.9.1. Haavoittuvuuden sisältävä RPC-hyökkäysten havainnointikoodi on mahdollista ottaa erikseen pois käytöstä, mutta tämä poistaa samalla järjestelmästä kaikki RPC-hyökkäysten havainnointiominaisuudet.

LISÄTIETOA:

http://www.snort.org
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21951

PÄIVITYSHISTORIA:

03.03.2003: Julkaistu
04.03.2003: Päivitetty haavoittuvan Snort-Current -version päivämäärä

Sivua päivitetty 09.08.2007

Tulostusversio