Lücke in Einbruchserkennung Snort
Über einen Buffer Overflow im Open-Source Intrusion Detection System Snort soll es möglich sein, Code in ein Überwachungssystem einzuschmuggeln und mit den Rechten von Snort auszuführen.
- Daniel Bachfeld
Über eine Lücke im als Open Source veröffentlichten Intrusion Detection System Snort soll es nach Angaben des Herstellers Sourcefire möglich sein, Code in ein Überwachungssystem einzuschmuggeln und mit den Rechten von Snort auszuführen. Ein Angreifer könnte so nicht nur die Einbruchserkennung unterlaufen, sondern auch noch Systeme unter seine Kontrolle bringen.
Ursache der Lücke ist ein Buffer Overflow im Präprozessor zur Verarbeitung des DCE/RPC-Protokolls, wie es für verteilte Anwendungen benutzt wird – unter anderem unter Unix und Windows. Standardmäßig ist der DCE/RPC-Präprozessor in Snort zwar eingeschaltet, allerdings wird DCE/RPC-Verkehr in den meisten Fällen an der Firewall blockiert. Das Risiko eines Angriffs aus dem Internet dürfte für die meisten Anwender eher gering sein.
Betroffen sind Snort 2.6.1, 2.6.1.1, 2.6.1.2. Auch in der kommerziellen Version ist der Fehler zu finden. Ein Update auf 2.6.1.3 behebt das Problem. Für Snort 2.7.0 beta 1 steht noch kein Update zur Verfügung. Anwender sollten als Workaround den betroffenen Präprozessor deaktivieren. Dazu ist der Eintrag in der snort.conf auszukommentieren:
#preprocessor dcerpc: \
# autodetect \
# max_frag_size 3000 \
# memcap 100000
Anschließend ist ein Neustart von Snort erforderlich. Sourcefire will demnächst einen Regelsatz veröffentlichen, mit dem sich Angriffe auf den DCE/RPC-Präprozessor erkennen lassen.
Siehe dazu auch:
- Vulnerability in Snort DCE/RPC Preprocessor, Fehlerbericht von Sourcefire
(dab)
