Snort stolpert über präparierte Pakete
Das Intrusion-Detection-System Snort verhaspelt sich unter bestimmten Umständen beim Auswerten von präparierten TCP-Paketen und hängt sich dabei auf.
Das quelloffene Netzwerk-Intrusion-Detection-System (IDS) Snort verhaspelt sich in seltenen Fällen beim Auswerten von präparierten TCP-Paketen und hängt sich dabei auf. Dies könnte ein Angreifer zu einem Denial-of-Service nutzen, wodurch ein darauf folgender Angriff von dem System nicht mehr registriert würde.
Der Fehler kommt dann zum Tragen, wenn Snort im "Verbose"-Modus läuft -- in dem das Programm ausführliche Paket-Analyse-Ergebnisse erzeugt und ausgibt -- und ein Paket mit unüblichen TCP SACK-Optionen analysiert wird. Mit Selective Acknowledgment (SACK) soll der Datendurchsatz verbessert werden. Läuft das IDS im "normalen" Logging-Modus, beispielsweise mit einer Datenbank als Speicherort, lässt sich das System nicht aus dem Tritt bringen. Die Entwickler raten auf ihrer Homepage ausdrücklich von der Verwendung des Verbose-Modus ab, für ein IDS sei dies keine sinnvolle Einstellung.
Betroffen sind die 2.x-Versionen von Snort. Die Entwickler stellen einen Patch im CVS zur Verfügung, der in der zukünftigen 2.4.1-Version Einzug erhält.
Siehe dazu auch: (dmk)
- News-Eintrag von den Snort-Entwicklern
- Code-Snapshot mit integriertem Patch