CERTA-2003-AVI-035

Vulnerability from certfr_avis - Published: - Updated:

Il est possible d'effectuer un débordement de mémoire du préprocesseur RPC du logiciel snort.

Description

snort est un outil de détection d'intrusion. Dans la version 1.8 a été développée une fonction de détection des attaques par fragmentation sur les services RPC.

Un vulnérabilité de type débordement de mémoire présente dans cette partie du programme permet à un utilisateur mal intentionné d'exécuter du code arbitraire avec les privilèges du processus snort sur la machine hébergeant le logiciel de détection d'intrusion.

Il n'est pas nécessaire d'établir une connexion RPC avec une machine située dans le sous réseau surveillé par la sonde snort pour exploiter cette vulnérabilité. L'attaque peut se faire en émettant des paquets RPC habilement construit en direction de ce réseau même si la machine cible ne possède pas de service RPC en écoute.

Contournement provisoire

S'il n'est pas possible de mettre à jour le logiciel snort vulnérable, la détection d'intrusion par RPC peut-être désactivée dans le fichier snort.conf en remplaçant la ligne suivante :

preprocessor rpc_decode

par :

#preprocessor rpc_decode

Solution

Installer la version 1.9.1 de snort.

Toutes les versions de snort de 1.8 à 1.9 incluse.

La version 1.9.1 corrige cette vulnérabilité.

Impacted products
Vendor Product Description
References
Avis de sécurité ISS None vendor-advisory
Site web snort.org None vendor-advisory
Bulletin de sécurité ISS : - other
Site web de snort : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eToutes les versions de \u003cTT\u003esnort\u003c/TT\u003e de 1.8 \u00e0 1.9  incluse.\u003c/P\u003e  \u003cP\u003eLa version 1.9.1 corrige cette vuln\u00e9rabilit\u00e9.\u003c/P\u003e",
  "content": "## Description\n\nsnort est un outil de d\u00e9tection d\u0027intrusion. Dans la version 1.8 a \u00e9t\u00e9\nd\u00e9velopp\u00e9e une fonction de d\u00e9tection des attaques par fragmentation sur\nles services RPC.\n\nUn vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de m\u00e9moire pr\u00e9sente dans cette\npartie du programme permet \u00e0 un utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter\ndu code arbitraire avec les privil\u00e8ges du processus snort sur la machine\nh\u00e9bergeant le logiciel de d\u00e9tection d\u0027intrusion.\n\nIl n\u0027est pas n\u00e9cessaire d\u0027\u00e9tablir une connexion RPC avec une machine\nsitu\u00e9e dans le sous r\u00e9seau surveill\u00e9 par la sonde snort pour exploiter\ncette vuln\u00e9rabilit\u00e9. L\u0027attaque peut se faire en \u00e9mettant des paquets RPC\nhabilement construit en direction de ce r\u00e9seau m\u00eame si la machine cible\nne poss\u00e8de pas de service RPC en \u00e9coute.\n\n## Contournement provisoire\n\nS\u0027il n\u0027est pas possible de mettre \u00e0 jour le logiciel snort vuln\u00e9rable,\nla d\u00e9tection d\u0027intrusion par RPC peut-\u00eatre d\u00e9sactiv\u00e9e dans le fichier\nsnort.conf en rempla\u00e7ant la ligne suivante :\n\n`preprocessor rpc_decode`\n\npar :\n\n`#preprocessor rpc_decode`\n\n## Solution\n\nInstaller la version 1.9.1 de snort.\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 ISS :",
      "url": "http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21951"
    },
    {
      "title": "Site web de snort :",
      "url": "http://www.snort.org"
    }
  ],
  "reference": "CERTA-2003-AVI-035",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-03-04T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire avec les privil\u00e8ges du processus snort"
    }
  ],
  "summary": "Il est possible d\u0027effectuer un d\u00e9bordement de m\u00e9moire du pr\u00e9processeur\nRPC du logiciel snort.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans le pr\u00e9processeur RPC de snort",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 ISS",
      "url": null
    },
    {
      "published_at": null,
      "title": "Site web snort.org",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.