Desbordamiento de búfer en Snort


Se ha descubierto un error muy grave de desbordamiento de búfer en el popular sistema de detección de intrusos (IDS) open-source Snort.

El búfer sin comprobar reside en el código que realiza el preproceso de RPCs. El problema consiste en que Snort no comprueba el tamaño de paquetes fragmentados con el que queda disponible en el buffer de preprocesamiento.





Un usuario malicioso podría explotar este problema mediante el envío
de paquetes RPC especialmente modificados a un sistema monitorizado
por este IDS, lo que provocará el citado desbordamiento. Además,
permite la ejecución de código arbitrario con los mismos privilegios
que tenga Snort (con frecuencia suele ser root).

La explotación con éxito de la vulnerabilidad no generará entradas en
el archivo log. Se ha comprobado que mecanismos de protección como la
implementación de una pila no ejecutable es ineficaz para proteger
contra la explotación de esta vulnerabilidad.

Como medida de protección temporal, se puede desactivar el
preprocesador RPC comentando la siguiente línea del archivo
"snort.conf": preprocessor rpc_decode

Sería conveniente que, además, Snort corriese como un usuario con
privilegios bajos en el entorno chroot. Esto reduciría el posible
impacto en una vulnerabilidad explotada con éxito, dando a los
administradores de sistema mas tiempo para reaccionar si un sistema
se ve afectado.

Se recomienda actualizar a la versión 1.9.1 disponible en:
http://www.snort.org/dl/snort-1.9.1.tar.gz. De igual forma las
principales distribuciones de Linux ya han publicado paquetes
con la versión actualizada de Snort.

Más información:

Snort RPC Preprocessing Vulnerability
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21951

Snort RPC Preprocessing Buffer Overflow
http://www.secunia.com/advisories/8195/

Vulnerability Note VU#916785
Snort RPC preprocessing buffer overflow when decoding fragmented RPC records
http://www.kb.cert.org/vuls/id/916785

Fuente: Hispasec

Otras noticias de interés:

INTECO-CERT: informe Software Exploitation
Este informe pretende ayudar a responsables de seguridad a tener en consideración medidas preventivas con la que evitar y mitigar gran variedad de ataques relacionados con la explotación de software....
Las Nuevas Tecnologías de la Información al Alcance de Todos
Tengo el gusto de Invitar al Grupo de usuarios LINUX de Venezuela, Capítulo: Valencia - Venezuela, con motivo de celebrarse el mes mundial del Software Libre, al Ciclo de Conferencias:...
Adobe y Apple cubren nuevas brechas críticas en sus productos
Adobe Systems y Apple emitieron ayer nuevas actualizaciones de seguridad. La actualización de Adobe incluía un parche crítico para Flash Player que cubre una vulnerabilidad contra la que ya se están lanzando ciberataques....
Capturado el autor del Sasser
Un estudiante alemán de 18 años, ha sido capturado este viernes por la policía, según informan las hasta ahora pocas noticias que se están divulgando. El adolescente ha admitido ser el creador del Sasser, el gusano que empezó a propagarse masiv...
Otro 0 day en Microsoft... a través de Microsoft Office Web Component
Por sorpresa, Microsoft ha publicado que se están detectando ataques contra Microsoft Office Web Components a través de Internet Explorer que permiten la ejecución de código. Este es el tercer 0 day de Microsoft (todos con ActiveX) en mes y med...
Vulnerabilidades en los antivirus Norton de Symantec y Dr.Web
Dos desbordamientos de búfer en los antivirus Symantec Norton y Dr.Web permiten ejecutar código de forma arbitraria y conseguir el control del sistema afectado....
CHARLA SOBRE SQL INJECTION EN EL IRC EL PROXIMO VIERNES
El próximo día 31 de octubre, a las 23 horas, en el canal #el_cenaculo, del IRC de la AIH, tendrá lugar una charla sobre SQL Injection a cargo de Kaskade, socio de la AIH. Es una buena oportunidad para conocer un poco más sobre seguridad inform...
Como reconocer si su ordenador se encuentra en una botnet
Una botnet o red bot, es una red de máquinas zombies que realizan acciones programadas remotamente por un atacante externo. ...
En noviembre solo dos boletines de MS, uno crítico
Microsoft anuncia para este mes solo dos actualizaciones de seguridad, una de ellas crítica. ...
Surgen dos nuevos malware para Mac
La empresa de seguridad Sophos ha encontrado un gusano y un troyano desarrollados específicamente para el sistema operativo de Apple....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bufer
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • desbordamiento
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • snort
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra