Desbordamiento de búfer en Snort


Se ha descubierto un error muy grave de desbordamiento de búfer en el popular sistema de detección de intrusos (IDS) open-source Snort.

El búfer sin comprobar reside en el código que realiza el preproceso de RPCs. El problema consiste en que Snort no comprueba el tamaño de paquetes fragmentados con el que queda disponible en el buffer de preprocesamiento.





Un usuario malicioso podría explotar este problema mediante el envío
de paquetes RPC especialmente modificados a un sistema monitorizado
por este IDS, lo que provocará el citado desbordamiento. Además,
permite la ejecución de código arbitrario con los mismos privilegios
que tenga Snort (con frecuencia suele ser root).

La explotación con éxito de la vulnerabilidad no generará entradas en
el archivo log. Se ha comprobado que mecanismos de protección como la
implementación de una pila no ejecutable es ineficaz para proteger
contra la explotación de esta vulnerabilidad.

Como medida de protección temporal, se puede desactivar el
preprocesador RPC comentando la siguiente línea del archivo
"snort.conf": preprocessor rpc_decode

Sería conveniente que, además, Snort corriese como un usuario con
privilegios bajos en el entorno chroot. Esto reduciría el posible
impacto en una vulnerabilidad explotada con éxito, dando a los
administradores de sistema mas tiempo para reaccionar si un sistema
se ve afectado.

Se recomienda actualizar a la versión 1.9.1 disponible en:
http://www.snort.org/dl/snort-1.9.1.tar.gz. De igual forma las
principales distribuciones de Linux ya han publicado paquetes
con la versión actualizada de Snort.

Más información:

Snort RPC Preprocessing Vulnerability
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21951

Snort RPC Preprocessing Buffer Overflow
http://www.secunia.com/advisories/8195/

Vulnerability Note VU#916785
Snort RPC preprocessing buffer overflow when decoding fragmented RPC records
http://www.kb.cert.org/vuls/id/916785

Fuente: Hispasec

Otras noticias de interés:

La nube (cloud computing) no es segura
Michael Calce, un famoso hacker reconvertido y conocido como Mafiaboy, ha asegurado que tiene cierta preocupación por las vulnerabilidades inherentes de la nube o cloud computing....
Sun corrige 15 vulnerabilidades en JRE 1.5,x y 6.x
La nueva versión 13 de la rama 6 de Java Runtime Environment corrige múltiples vulnerabilidades, como viene siendo habitual. El Update 13, como su propio nombre indica, es la decimotercera tanda de corrección de problemas de seguridad desde que ap...
Desbordamiento de búfer en Apple QuickTime ActiveX
El componente Activex de Apple QuickTime v5.0.2 se ve afectado por una vulnerabilidad que permitiría un ataque DoS y la posterior ejecución de código. ...
Yahoo! refuerza la tecnología "SpamGuard" para combatir los correos electrónicos
Yahoo! anunció hoy el lanzamiento de la versión reforzada de SpamGuard, una nueva tecnología para el filtrado de correo electrónico no deseado (spam) que tiene una capacidad de reducir hasta en un cuarenta por ciento este tipo de mensajes. ...
iPod también para Linux
Hace meses, Apple revolucionó el mundo de los reproductores portátiles con iPod. El aparato ha gustado a muchos, pero nació para funcionar sólo con Mac. Hace unos meses, lanzaron una herramienta para hacerlo compatible con Windows, y ahora le toc...
Graves vulnerabilidades en CUPS
Las versiones de CUPS no actualizadas contienen numerosas vulnerabilidades que permiten matar el servidor, sobreescribir ficheros arbitrarios en la máquina y obtener privilegios adicionales como los usuarios root y lp. ...
La publicidad web como vía para infectar los sistemas
La publicidad dinámica que muestran las páginas webs a modo de banners o ventanas está siendo utilizada para hacer llegar a losusuarios contenidos maliciosos....
Firefox el navegador más seguro contra el fraude
Un estudio realizado con 20.263 webs maliciosas revela que Firefox, en comparación con Chrome, Internet Explorer y Opera, es el navegador que bloquea de forma más efectiva los intentos de fraude. ...
I Can Stalk U, nuevo site sobre los peligros de la Geolocalización
En el estilo de PleaseRobMe.com (por favor róbame) I Can Stalk U tiene la intención de concienciar a los usuarios de redes sociales de los peligros que pueden vivirse al informar en éstas del sitio en el que uno se encuentra en todo momento....
Nueva versión de LocuLinux 2.0
Segunda versión de esta distribución deGNU/linux orientada a Cibercafés, estas son algunas de sus nuevas características:...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bufer
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • desbordamiento
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • snort
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra