scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Snort bis 2.6.1.2 DCE/RPC Preprocessor Buffer Overflow

Allgemein

scipID: 2948
Betroffen: Snort bis 2.6.1.2
Veröffentlicht: 20.02.2007 (Neel Mehta, X-Force)
Risiko: kritisch

Beschreibung

Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS). Snort ist Open Source und mit über drei Millionen Downloads und 150.000 aktiven Benutzern (Angaben der Entwickler, Stand: Ende 2006) das weltweit am häufigsten eingesetzte IDS. Neel Metha von IBMs X-Force entdeckte einen Fehler in der Funktion zur Bearbeitung von SMB Write AndX Statements im DCE/RPC Präprozessor, die es erlaubt beliebigen Code mittels eines speziell präparierten Paketes auszuführen. Die Schwachstelle betrifft ausserdem auch die aktuelle Betaversion 2.7.0 beta 1.

Intrustion Detection Systeme wurden mit dem Ziel entworfen, Angriffe zu entdecken um entsprechende Massnahmen einleiten zu können. Erlangt ein Angreifer aber Kontrolle über das IDS selber, wird es nutzlos und wiegt den Administrator aufgrund des Ausbleibens von Alarmen möglicherweise sogar in falscher Sicherheit. Es ist daher dringend zu empfehlen, die zur Verfügung gestellten Patches auf Version 2.6.1.3 einzuspielen. Benutzer der aktuellen Beta 2.7.0 beta 1 sollten bis zur Korrektur des Bugs den DCE/RPC-Präprozessor deaktivieren, um das Risiko zu reduzieren.

Exploiting

Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja

Exploit: http://milw0rm.com/exploits/3362
Milw0rm: 3362
Nessus: 27749 (Name: Fedora 7 2007-2060: snort
ATK: –

Gegenmassnahmen

Status: Es wurde ein Patch herausgegeben.
Bestätigung: http://www130.nortelnetworks.com/go/main.jsp?cscat=BLTNDETAIL&DocumentOID=540173

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: –

Snort: 10160 (DELETED NETBIOS-DG SMB writex possible Snort dcerpc preprocessor overflow attempt)
Pattern: |11|

Quellen

Advisory: http://www.snort.org/docs/advisory-2007-02-19.html

CVE: CVE-2006-5276
OSVDB: 32094
Securityfocus: 22616
Secunia: 26746
X-Force: 31275
Securitytracker: 1017670
VUPEN: ADV-2007-0668
Securiteam: –

Tecchannel: –
Heise: –
smSS: smSS 19. Maerz 2007
Buchtipp: Brian Hatch, James Lee, George Kurtz und Anne Carasik (2002), Das Anti-Hacker-Buch für Linux, mitp, ISBN 3826606698 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter