VulDB: Snort bis 2.6.1.2 DCE/RPC Pre-Processor Pufferüberlauf
Allgemein
scipID: 2948
Betroffen: Snort bis 2.6.1.2
Veröffentlicht: 20.02.2007 (Neel Mehta)
Risiko: 
kritisch
Eintrag: 100% komplett
Erstellt: 22.02.2007
Aktualisiert: 03.09.2012
Beschreibung
Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS). Snort ist Open Source und mit über drei Millionen Downloads und 150.000 aktiven Benutzern (Angaben der Entwickler, Stand: Ende 2006) das weltweit am häufigsten eingesetzte IDS. Neel Metha von IBMs X-Force entdeckte einen Fehler in der Funktion zur Bearbeitung von SMB Write AndX Statements im DCE/RPC Präprozessor, die es erlaubt beliebigen Code mittels eines speziell präparierten Paketes auszuführen. Die Schwachstelle betrifft ausserdem auch die aktuelle Betaversion 2.7.0 beta 1. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (32094), Secunia (SA26746), SecurityFocus (BID 22616), SecurityTracker (ID 1017670) und X-Force (31275) dokumentiert.
Für den Vulnerability Scanner Nessus wurde am 02.03.2007 ein Plugin mit der ID 24749 (GLSA-200703-01 : Snort: Remote execution of arbitrary code) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Gentoo Local Security Checks zugeordnet und im Kontext local ausgeführt.
Intrustion Detection Systeme wurden mit dem Ziel entworfen, Angriffe zu entdecken um entsprechende Massnahmen einleiten zu können. Erlangt ein Angreifer aber Kontrolle über das IDS selber, wird es nutzlos und wiegt den Administrator aufgrund des Ausbleibens von Alarmen möglicherweise sogar in falscher Sicherheit. Es ist daher dringend zu empfehlen, die zur Verfügung gestellten Patches auf Version 2.6.1.3 einzuspielen. Benutzer der aktuellen Beta 2.7.0 beta 1 sollten bis zur Korrektur des Bugs den DCE/RPC-Präprozessor deaktivieren, um das Risiko zu reduzieren.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Download: exploit-db.com
Nessus ID: 24749
Nessus Name: GLSA-200703-01 : Snort: Remote execution of arbitrary code
Nessus Family: Gentoo Local Security Checks
Nessus Context: local
Exploit-DB: 3362
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 1 Tage seit gemeldet
0-Day Time: 490 Tage seit gefunden
Exposure Time: 1 Tage seit bekannt
Timeline
18.10.2005 | OSVDB Eintrag erstellt
13.10.2006 | CVE zugewiesen
20.02.2007 | Advisory veröffentlicht
21.02.2007 | Gegenmassnahme veröffentlicht
22.02.2007 | VulDB Eintrag erstellt
02.03.2007 | Nessus Plugin veröffentlicht
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: snort.org
Person: Neel Mehta
Firma: X-Force
Bestätigung: www116.nortelnetworks.com
OSVDB: 32094
CVE: CVE-2006-5276 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 26746
SecurityFocus: 22616
SecurityTracker: 1017670
X-Force: 31275
Vupen: ADV-2007-0668
- Letzte Einträge
- Apple QuickTime DREF Atom Handler Pufferüberlauf [CVE-2013-1017]
- Apple QuickTime H.264 Handler Pufferüberlauf [CVE-2013-1018]
- Apple QuickTime MP3 File Handler Pufferüberlauf [CVE-2013-0989]
- Apple QuickTime Sorenson Codec Handler Pufferüberlauf [CVE-2013-1019]
- Apple QuickTime JPEG Handler Pufferüberlauf [CVE-2013-1020]
- Statistiken
- Archiv
