IDS Snort erkennt teilweise Angriffe auf Apache nicht
Das Intrusion Detection System Snort erkennt Angriffe auf Apache-Webserver nicht, wenn nach einer URI, aber noch vor der Protokoll-Deklaration in einem HTTP-Request ein Carriage Return \r steht.
- Daniel Bachfeld
Das Intrusion Detection System Snort erkennt Angriffe auf Apache-Webserver nicht, wenn nach einer URI, aber noch vor der Protokoll-Deklaration in einem HTTP-Request ein Carriage Return \r steht. Betroffen sind alle diejenigen Regeln, die per uricontent den Inhalt eines Paketes testen. Nach Angaben der Entdecker der LĂĽcke, der Sicherheitsdienstleister Demarc, handelt es sich dabei um einige tausend Regeln. Um etwa die IDS-Regel fĂĽr einen Angriff auf das Statistik-Skript AwStats auszutricksen, fĂĽhrt Demarc folgendes Beispiel an:
$ perl -e'print "GET /awstats.pl?configdir=|backdoor\r http/1.0\r\n\r\n"' |nc vulnerable.server 80
Der Fehler steckt im Preprozessor http_inspect, der das überflüssige \r nicht richtigt verarbeitet. Die Schwachstelle lässt sich laut Fehlerbericht der Snort-Entwickler nur beim Apache ausnutzen, da dieser zusätzliche Zeichen in HTTP-Request ohne Probleme verdaue. Sourcefire will am kommenden Montag (5.Juni) die Versionen 2.4.5 und 2.6.0 Final veröffentlichen, in denen der Fehler behoben ist. Die Programmierer von Demarc haben bereits einen eigenen Patch veröffentlicht, der Carriage Returns in einer URI erkennt und meldet.
Siehe dazu auch: (dab)
- Possible Evasion in http_inspect, Fehlerreport von Sourcefire
- Snort Uricontent Bypass Vulnerability, Fehlerreport von Demarc
