RNP > Serviços > Segurança em redes > Alertas do CAIS

ISS Alert

Snort RPC Preprocessing Vulnerability

[ISS, 03.03.2003, revisão 01]

O CAIS está repassando o alerta recentemente divulgado pelo ISS – Internet Security Systems, "ISS Alert: Snort RPC Preporcessing
Vulnerability", a respeito de uma vulnerabilidade do tipo _buffer
overflow_, que pode ser explorada remotamente por um atacante,
permitindo-lhe executar código arbitrário em uma máquina que roda este aplicativo, com os mesmos privilégios do processo Snort, normalmente "root".

O Snort é uma ferramenta de detecção de intrusão (IDS – Intrusion Detection System), de domínio público, amplamente utilizada. Desta forma, o impacto da exploração desta vulnerabilidade se torna ainda maior.

Sistemas afetados:

Versões anteriores a Snort 1.9.x

Correções disponíveis:

Foi recentemente disponibilizada a versão Snort 1.9.1, que corrige o problema. Recomenda-se a atualização para esta nova versão. Para usuários que utilizam o mecanismo CVS HEAD para atualização, foi também divulgada uma correção (patch).

Ambas atualizações podem ser obtidas através da seguinte URL:

http://www.snort.org/

Ações recomendadas:

Se não for possível realizar as atualizações imediatamente, o ISS sugere comentar a seguinte linha no arquivo snort.conf:

preprocessor rpc_decode

da seguinte forma, substituindo-a por:

# preprocessor rpc_decode

Maiores informações:

http://www.snort.org/
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21951

Identificadores do CVE:

O projeto CVE (http://cve.mitre.org), que padroniza nomes para problemas de segurança, designou o nome CAN-2003-0033 para esta vulnerabilidade.

O CAIS recomenda aos usuários do Snort que fiquem atentos a ocorrência de paradas inesperadas do aplicativo e que façam as atualizações recomendadas do aplicativo, o quanto antes.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais