Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2005 > CERT-FI haavoittuvuustiedote 073/2005

CERT-FI haavoittuvuustiedote 073/2005

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

18.10.2005

Haavoittuvuus Snort-ohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Snort on suosittu tunkeutumisen havaitsemiseen tarkoitettu avoimen lähdekoodin ohjelmisto. Useat eri tunkeutumisen havaitsemisjärjestelmät (IDS) pohjautuvat Snort-ohjelmiston koodiin. Snort-ohjelmistosta on löytynyt vakava haavoittuvuus.

Löydetty haavoittuvuus on Snort-ohjelmiston Back Orifice -nimisessä tietoliikennepakettien esikäsittelijässä (preprocessor). Haavoittuvuutta voidaan hyväksikäyttää lähettämällä tietyllä tavalla muokattu UDP-viesti verkkoon, jota haavoittuva ohjelmisto monitoroi. Haavoittuvuutta hyväksikäyttävän viestin kohdeportti voi olla mikä tahansa UDP-portti. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdejärjestelmässä, tyypillisesti root- tai SYSTEM-oikeuksilla.

HAAVOITTUVAT OHJELMISTOT:

  • Snort 2.4.2 ja sitä aikaisemmat versiot

  • IDS-ohjelmistot, jotka pohjautuvat haavoittuvan Snort-ohjelmiston koodiin

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Snort-ohjelmisto versioon 2.4.3:

http://www.snort.org/dl/

Haavoittuvuudelta voidaan suojautua myös poistamalla käytöstä Back Orifice -esikäsittelijä kommentoimalla seuraava snortin konfiguraatiotiedoston (snort.conf) rivi:

#preprocessor bo

ja käynnistämällä tämän jälkeen snort-ohjelmisto uudelleen.

Yleisohjeena CERT-FI suosittelee estämään IDS-järjestelmän sensoreista ulospäin monitoroitavaan verkkoon suuntautuva liikenne.

LISÄTIETOA:

http://xforce.iss.net/xforce/alerts/id/207

http://www.snort.org/docs/release_notes/release_notes_243.txt

http://www.snort.org/pub-bin/snortnews.cgi#99

http://www.us-cert.gov/cas/techalerts/TA05-291A.html

http://www.kb.cert.org/vuls/id/175500

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3252

PÄIVITYSHISTORIA:

18.10.2005: Julkaistu
Sivua päivitetty 26.03.2007   Tulostusversio Tulostusversio