VulDB: SourceFire Intrusion Sensor 4.x DCE/RPC Preprocessor Buffer Overflow
Allgemein
scipID: 2950
Betroffen: SourceFire 4.x
Veröffentlicht: 20.02.2007 (Neel Mehta, X-Force)
Risiko: 
kritisch
Beschreibung
Der SourceFire Intrusion Sensor ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke und funktioniert auf Basis von Snort. Neel Metha von IBMs X-Force entdeckte einen Fehler in der Funktion zur Bearbeitung von SMB Write AndX Statements im DCE/RPC Präprozessor, die es erlaubt beliebigen Code mittels eines speziell präparierten Paketes auszuführen.
Intrustion Detection Systeme wurden mit dem Ziel entworfen, Angriffe zu entdecken um entsprechende Massnahmen einleiten zu können. Erlangt ein Angreifer aber Kontrolle über das IDS selber, wird es nutzlos und wiegt den Administrator aufgrund des Ausbleibens von Alarmen möglicherweise sogar in falscher Sicherheit. Es ist daher dringend zu empfehlen, die zur Verfügung gestellten Patches einzuspielen. Diese Lücke entspricht in ihrer Art und Funktion der Schwachstelle in Snort (sID 2948)
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: 3362
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: http://www130.nortelnetworks.com/go/main.jsp?cscat=BLTNDETAIL&DocumentOID=540173
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.sourcefire.com/
Snort: –
Pattern: –
Quellen
Advisory: http://www.iss.net/threats/257.html
CVE: CVE-2006-5276
OSVDB: –
Securityfocus: –
Secunia: 24235
X-Force: –
Securitytracker: 1017670
VUPEN: ADV-2007-0668
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. Maerz 2007
Buchtipp: Anonymous (2001), Der neue Linux Hacker’s Guide, Markt+Technik, ISBN 3827260981 (amazon.de)
