| Vulnerabilidade no Pré-processador Back Orifice do SnortISS Security Brief [CAIS, 19.10.2005-10:39, revisão 01] O CAIS está repassando o alerta da ISS, intitulado "Snort Back Orifice Parsing Remote Code Execution", que trata de uma vulnerabilidade no pré-processador "bo" (Back Orifice) do Snort. Snort é um network intrusion detection system (IDS) open-source amplamente utilizado. Pré-processadores são plugins modulares que extendem as funcionalidades do Snort ao operar sobre os pacotes antes que o mecanismo de detecção seja executado. Este pré-processador em específico ("bo") decodifica pacotes para determinar se eles contêm mensagens de ping do Back Orifice. A vulnerabilidade está no código de detecção do ping, que não limita adequadamente a quantidade de dados que é lida do pacote para um buffer de tamanho fixo. Qualquer pacote UDP, mesmo que não tenha origem ou destino na porta do Back Orifice (31337/UDP), é processado, causando um potencial buffer overflow. Esta vulnerabilidade pode ser explorada por um atacante para executar código remoto arbitrário no sensor Snort vulnerável quando este pré-processador está habilitado, permitindo o comprometimento completo do mesmo. Sistemas afetados:
Correções disponíveis: Recomenda-se fazer a atualização para as versões disponíveis em: Caso não seja possível realizar o upgrade imediato de versão é possível mitigar o problema facilmente, desabilitando o pré-processador Back Orifice:
Mais informações:
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. O CAIS Alerta também é oferecido no formato RSS/RDF: | Contato com o Cais: +55 (19) 3787-3300 |