Pufferüberlaufschwachstelle in SNORT
Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: Pufferüberlaufschwachstelle in SNORT  (Gelesen 1614 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.503
Pufferüberlaufschwachstelle in SNORT
« am: 24. Februar 2007, 21:34:43 »

[Generic/SNORT] Pufferüberlaufschwachstelle in SNORT
(2007-02-21 10:32:02.331092+01)
Quelle: http://www.snort.org/docs/advisory-2007-02-19.html

Eine Pufferüberlaufschwachstelle im Intrusion Detection System SNORT
der Versionen 2.6.1, 2.6.1.1 und 2.6.1.2 sowie 2.7.0 beta 1 kann von
einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit
den Privilegien des SNORT-Prozesses auf dem beherbergenden
Rechnersystem auszuführen.

Betroffene Systeme
  * SNORT 2.6.1
  * SNORT 2.6.1.1
  * SNORT 2.6.1.2
  * SNORT 2.7.0 beta 1

Kommerzielle Versionen:
  * Sourcefire Intrusion Sensors 4.1.x vor SEU 64
  * Sourcefire Intrusion Sensors 4.5.x vor SEU 64
  * Sourcefire Intrusion Sensors 4.6.x vor SEU 64
  * Sourcefire Intrusion Sensor Software (Crossbeam) 4.1.x vor SEU 64
  * Sourcefire Intrusion Sensor Software (Crossbeam) 4.5.x vor SEU 64
  * Sourcefire Intrusion Sensor Software (Crossbeam) 4.6.x vor SEU 64

Nicht betroffene Systeme
  * SNORT 2.6.1.3
  * SNORT 2.7.0 beta 2 (noch nicht verfügbar)
  * Systeme, die mit entsprechenden Hersteller-Patches zur Behebung
    der Schwachstelle versehen sind, die aber i.d.R. nicht die
    Versionsnummer ändern.

Kommerzielle Versionen:
  * Sourcefire Intrusion Sensors 4.1.x SEU 64
  * Sourcefire Intrusion Sensors 4.5.x SEU 64
  * Sourcefire Intrusion Sensors 4.6.x SEU 64
  * Sourcefire Intrusion Sensor Software (Crossbeam) 4.1.x SEU 64
  * Sourcefire Intrusion Sensor Software (Crossbeam) 4.5.x SEU 64
  * Sourcefire Intrusion Sensor Software (Crossbeam) 4.6.x SEU 64

Einfallstor
DCE/RPC-Paket oder SMB-Paket an ein überwachtes System oder Netzwerk

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des
SNORT-Prozesses über ein Netzwerk. Da dies üblicherweise root- oder
SYSTEM-Privilegien sind, führt dies zu einer Kompromittierung des
beherbergenden Rechnersystems.
(remote system compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Kontext
  * [2]SNORT ist ein weit verbreitetes netzwerkbasiertes Open-Source
    Intrusion Detection System. Es analysiert den überwachten
    Netzverkehr auf bekannte Angriffssignaturen und Anomalien und löst
    bei deren Erkennen vorbetimmte Reaktionen, wie z.B. einen Alarm,
    aus. Dazu kopiert das System den mitgeschnittenen Netzverkehr auf
    das beherbergende Rechnersystem und führt die Analysen
    regelbasiert mittels veschiedener Softwaremodule durch.
  * Die Distributed Computing Environment ([3]DCE) ist ein
    Industriestandard für verteilte IT-Anwendungen. Er definiert eine
    Reihe von Diensten und Werkzeugen, die die plattformübergreifende
    Kommunikation von verteilten Anwendungen ermöglicht. Der Standard
    hat sich nicht durchgesetzt, jedoch sind die zugrundeliegenden
    Konzepte des [4]Client-Server-Modells, [5]Remote Procedure Calls
    sowie der gemeinsamen Datenhaltung in sehr viele Produkte und
    andere Standards eingeflossen. Bekannte Implementierungen sind
    z.B. das DCE/DFS (Distributed File System), sowie [6]SMB.

Beschreibung
Eine Pufferüberlaufschwachstelle im DCE/RPC-Präprozessor-Modul des
Intrusion Detection Systems ([7]IDS) SNORT der Versionen 2.6.1,
2.6.1.1 und 2.6.1.2 sowie 2.7.0 beta 1 kann von einem Angreifer dazu
ausgenutzt werden, beliebigen Programmcode mit den Privilegien des
SNORT-Prozesses auf dem beherbergenden Rechnersystem auszuführen.
Dabei ist es ausreichend, wenn der Angreifer speziell präparierte
DCE/RPC oder SMB-Pakete in eine Netzwerk schicken kann, das von der
verwundbaren SNORT-Installation überwacht wird.

Da SNORT normalerweise mit root- oder SYSTEM-Privilegien läuft, führt
ein erfolgreicher Angriff zur Kompromittierung des beherbergenden
Rechnersystems. Durch die meist sehr zentrale Platzierung eines IDS in
einem zu überwachenden Netz, stellt dessen Kompromittierung eine
besondere Bedrohung dieses Netzwerkes dar.

Trotz zahlreicher Warnungen gibt es Installationen, in denen Microsoft
Windows-Domänen über Firewalls hinweg ausgedehnt werden und so SMB-
bzw. CIFS-Datenverkehr (s.
[8]http://de.wikipedia.org/wiki/Server_Message_Block) nicht gefiltert
werden kann. In diesen Konfigurationen sind Angriffe auf ein gegen
diese Schwachstelle verwundbares SNORT-System von außerhalb des durch
die Firewall abgesicherten Netzwerkes möglich.

Die neu bereitgestellte Version SNORT 2.6.1.3 ist nicht gegen diese
Schwachstelle verwundbar und es wird empfohlen, bestehende
Installationen des 2.6.x-Zweiges auf diese Version zu aktualisieren.
Alternativ kann zur Behebung des Problems der DCE/RPC-Präprozessor
abgeschaltet werden. Benutzer des 2.7.x-Zweiges müssen derzeit diese
Maßnahme durchführen, da es noch keine neue Version gibt, die das
Problem behebt.

Gegenmaßnahmen
Installation der nicht verwundbaren Versionen
  * [9]SNORT 2.6.1.3
  * SNORT 2.7.0 beta 2 (sobald verfügbar)

Kommerzielle Versionen:
  * Sourcefire Intrusion Sensors, Details sind der [10]Customer
    Support Seite von Sourcefire Inc. zu entnehmen

Workaround
  * Abschalten des voreingestellt aktivierten
    [11]DCE/RPC-Präprozessor-Moduls. Dazu ist in der
    Konfigurationsdatei /etc/snort/snort.conf (unter GNU/Linux bzw.
    der entsprechenden Konfigurationsdatei auf anderen unterstützten
    Plattformen) ist die Regel
preprocessor dcerpc: \\
 autodetect \\
max_frag_size 3000 \\
 memcap 100000
    auszukommentieren:
#preprocessor dcerpc: \\
#    autodetect \\
#   max_frag_size 3000 \\
#    memcap 100000
    Danach ist der SNORT-Prozess neu zu starten. Dies geschieht auf
    Linux-Plattformen üblicherweise mit dem folgenden Kommando (dies
    kann aber ja nach Konfiguration variieren):
# /etc/init.d/snort restart
    Auf anderen unterstützten Plattformen muss dies ggf. durch eine
    abweichende Prozedur durchgeführt werden.
  * Eine Abmilderung der Gefährdung eines durch eine verwundbare
    SNORT-Installation überwachten Netzwerkes kann die Installation
    einer Firewall für DCE/RPC- bzw. SMB-Verkehr darstellen. Zu
    beachten ist, dass eine solchermaßen eingestelle Firewall effektiv
    den für die Aufrechterhaltung einer Microsoft-Domäne nötigen
    Datenverkehr unterbindet.
    Eine solche Maßnahme behebt zwar nicht die Schwachstelle, schränkt
    aber die Möglickeiten eines Angriffs auf die Rechnersysteme ein,
    die innerhalb dieses Netzwerkes stehen. Trotzdem sollte des
    Gefahrenpotential auch einer solchermaßen eingeschränkten Menge
    potentieller Angreifer nicht unterschätzt werden, da ein
    Rechnersystem auf dem ein IDS installiert ist, eine solch zentrale
    Position in dem Netzwerk hat, dass es ein lohnendes Angriffsziel
    darstellt. In mehrstufigen Angriffsszenarien, bei denen zunächst
    z.B. Arbeitsplatzsysteme angegriffen werden und danach das IDS,
    wäre diese Maßnahme nicht wirksam.

Vulnerability ID
  * [12]CVE-2007-5276

Weitere Information zu diesem Thema
  * Technical Cyber Security Alert TA07-050A: [13]Sourcefire Snort
    DCE/RPC Preprocessor Buffer Overflow
  * IBM ISS Advisory: [14]Sourcefire Snort Remote Buffer Overflow
  * [15]SNORT Homepage
  * [16]Distributed Computing Environment (DCE) auf [17]Wikipedia

Revisionen dieser Meldung
  * V 1.0 (2007-02-21): Veröffentlichung als Kurzmeldung
  * V 1.1 (2007-02-21): zur Vollmeldung erweitert
  * V 1.2 (2007-02-21): Sourcefire hinzugefügt

Aktuelle Version dieses Artikels
[18]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1355

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2007 RUS-CERT, Universität Stuttgart,
[19]http://CERT.Uni-Stuttgart.DE/
Gespeichert