CERTA-2003-AVI-078

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité présente dans le préprocesseur stream4 de snort peut être exploitée afin d'exécuter du code arbitraire à distance sur la machine utilisant une version vulnérable de snort.

Description

Stream4 est un préprocesseur utilisé par Snort, un outil de détection d'intrusions. Stream4 permet de réassembler les segments TCP avant la recherche de signatures d'attaques.

Au moyen de paquets judicieusement composés, un utilisateur mal intentionné peut exploiter une vulnérabilité de type débordement de mémoire présente dans le préprocesseur stream4 afin d'exécuter du code arbitraire sur la machine utilisant une version vulnérable de snort.

Contournement provisoire

En attendant d'installer une version non vulnérable, désactiver le préprocesseur stream4 dans le fichier snort.conf.

Solution

La version 2.0.0 disponible sur le site de snort corrige cette vulnérabilité.

Site de snort :

http://www.snort.org

Snort versions 1.8 à 2.0 beta.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eSnort versions 1.8 \u00e0 2.0 beta.\u003c/p\u003e",
  "content": "## Description\n\nStream4 est un pr\u00e9processeur utilis\u00e9 par Snort, un outil de d\u00e9tection\nd\u0027intrusions. Stream4 permet de r\u00e9assembler les segments TCP avant la\nrecherche de signatures d\u0027attaques.\n\nAu moyen de paquets judicieusement compos\u00e9s, un utilisateur mal\nintentionn\u00e9 peut exploiter une vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de\nm\u00e9moire pr\u00e9sente dans le pr\u00e9processeur stream4 afin d\u0027ex\u00e9cuter du code\narbitraire sur la machine utilisant une version vuln\u00e9rable de snort.\n\n## Contournement provisoire\n\nEn attendant d\u0027installer une version non vuln\u00e9rable, d\u00e9sactiver le\npr\u00e9processeur stream4 dans le fichier snort.conf.\n\n## Solution\n\nLa version 2.0.0 disponible sur le site de snort corrige cette\nvuln\u00e9rabilit\u00e9.\n\nSite de snort :\n\n    http://www.snort.org\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 CORE-2003-0307 de Core Security    Technologies :",
      "url": "http://www.coresecurity.com/common/showdoc.php?idx=313\u0026idxseccion=10"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 \"Integer overflow in Stream4\" de snort :",
      "url": "http://www.snort.org/advisories/snort-2003-04-16-1.txt"
    }
  ],
  "reference": "CERTA-2003-AVI-078",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-04-18T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le pr\u00e9processeur stream4 de snort peut\n\u00eatre exploit\u00e9e afin d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance sur la\nmachine utilisant une version vuln\u00e9rable de snort.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans le pr\u00e9processeur stream4 de Snort",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis CA-2003-13 du CERT/CC",
      "url": "http://www.cert.org/advisories/CA-2003-13.html"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 CORE-2003-0307 de Core Security Technologies",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.