Pufferüberlauf in Snorts BackOrifice-Parser [Update]

Das Intrusion Detection System Snort kommt durch gefälschte BackOrifice-Pakete aus dem Tritt -- ein Pufferüberlauf kann stattfinden.

In Pocket speichern vorlesen Druckansicht 31 Kommentare lesen
Lesezeit: 1 Min.
Von

Das populäre Intrusion Detection System (IDS) Snort kommt durch gefälschte BackOrifice-Pakete aus dem Tritt -- ein Pufferüberlauf kann stattfinden. Ein Pufferüberlauf in einem IDS ist besonders heimtückisch, da die Pakete gar nicht an die Maschine adressiert sein müssen, auf der der Sensor läuft. Ein IDS belauscht den gesamten Verkehr für ein Netzwerk beziehungsweise Netzwerksegment. So könnte ein Angreifer einzelne, manipulierte UDP-Pakete wahllos in ein Netz senden und damit erfolgreich in Sensoren-Systeme einbrechen, da diese die Pakete automatisch mitlesen und auswerten.

Da BackOrifice inzwischen wenig verbreitet ist und im Vergleich zu aktuellen Trojanern, Hintertüren und Würmern kaum noch eine Gefahr darstellt, kann man das Problem durch Auskommentieren des Präprozessor-Eintrags für BackOrifice in der Snort-Konfigurationsdatei und anschließendem Neustart des IDS vermeiden. Die Snort-Entwickler legen zeitgleich mit der Sicherheitsmeldung auch die neue Version 2.4.3 vor, die den Fehler nicht mehr enthält. Von der Lücke betroffen sind die 2.4er-Versionen von Snort vor der Ausgabe 2.4.3.

Update:

Es sind inzwischen Exploits für die Lücke im Umlauf. So hat zum Beispiel die Gruppe THC einen Exploit von rd dafür auf ihrer Homepage veröffentlicht.

Siehe dazu auch: (dmk)