Neue Snort-Releases beheben Schwachstellen
Das Open-Source-Intrusion-Detection-System Snort ist in den Versionen 2.4.5 und 2.6.0 nicht mehr anfällig für kürzlich gemeldete Schwachstellen.
Das Open-Source-Werkzeug Snort, ein verbreitetes Intrusion Detection System, ist in den neuen Versionen 2.4.5 und 2.6.0 nicht mehr anfällig für kürzlich gemeldete Schwachstellen. Zugleich kündigen die Programmierer das Ende der Entwicklung des 2.4er-Zweiges an.
Die neuen Versionen schließen eine Lücke beim Filtern von http-Verkehr. Der Preprozessor http_inspect, der überflüssige \r (Carriage Return) nicht richtig verarbeitete, konnte darartig manipulierte Angreiferpakete gegen Apache-Server nicht korrekt erkennen. Weiterhin war es bei vorhergehenden Versionen möglich, der Inspektion mit TCP-Paket-Sequenzen zu entgehen, bei denen der so genannte Snort-sequence-check fehlschlug. Detailverbesserungen finden sich bei der RPC-Verarbeitung, Portscan-Erkennung sowie bei der Performance-Überwachung.
Das 2.6er-Release unterstützt dynamische Regeln und Preprozessoren, die somit zur Laufzeit konfigurierbar sind. Nutzern von älteren Snort-Versionen ist ein Update auf die neuen Fassungen anzuraten.
Siehe dazu auch: (dmk)
- Downloads der neuen Snort-Versionen
