VulDB: Snort bis 2.6.0 http_inspect Preprozessor umgehen
Allgemein
scipID: 2276
Betroffen: Snort bis 2.6.0
Veröffentlicht: 02.06.2006 (Blake Hartstein, Demarc Threat Research Team)
Risiko: 
kritisch
Beschreibung
Snort ist eine beliebte, netzwerkbasierende open-source Intrusion Detection-Lösung. Es wurde ein Fehler im Preprozessor für HTTP entdeckt. Dieser kann unter gewissen Umständen umgangen werde, wodurch sich ein Angreifer der Entdeckung entziehen kann. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wird in den Versionen 2.4.5 sowie 2.6.0 behoben werden.
Weiss ein Angreifer, dass das Zielnetzwerk durch ein Snort-System geschützt wird, wird er alles daran setzen, seine Zugriffe möglichst unauffällig durchzuführen. Eine einfache Evasions-Technik, wie die hier beschriebene nimmt er natürlich mit offenen Armen entgegen. Um dem Angreifer keine Chance zu lassen, das Intrusion Detection-System zu umgehen, sollte man auf die neueste Version updaten.
Exploiting
Klasse: Umgehungs-Angriff
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 27448 (Name: SuSE Security Update: Evasion attack in http_inspect preprocessor. (snort-1598)
ATK: –
Gegenmassnahmen
Status: Hersteller arbeitet an einer Lösung.
Bestätigung: http://www.snort.org/pub-bin/snortnews.cgi#431
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.snort.org
Snort: –
Pattern: –
Quellen
Advisory: http://www.snort.org/pub-bin/snortnews.cgi#431
CVE: CVE-2006-2769
OSVDB: 25837
Securityfocus: 18200
Secunia: 20413
X-Force: 26855
Securitytracker: 1016191
VUPEN: ADV-2006-2119
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. Juni 2006
Andere: http://www.demarc.com/support/downloads/patch_20060531
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
