RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

Vulnerabilidade no Snort

2007-02-19 Sourcefire Advisory: Vulnerability in Snort DCE/RPC Preprocessor

[CAIS, 22.02.2007-16:57, revisão 01]


O CAIS está repassando o alerta da Sourcefire, intitulado "Sourcefire Advisory: Vulnerability in Snort DCE/RPC Preprocessor", que trata de uma vulnerabilidade recém-descoberta no Snort.

A vulnerabilidade existe no pré-processador DCE/RPC do Snort, responsável por detectar e decodificar tráfego SMB (Server Message Block) e DCE/RPC (Distributed Computing Environment / Remote Procedure Calls). Este pré-processador é vulnerável a ataques de buffer overflow, que se explorado, pode permitir ao atacante executar código malicioso no sistema afetado, se utilizando dos mesmos privilégios atribuídos ao programa executável do Snort.


Sistemas afetados

  • Snort 2.6.1, 2.6.1.1 e 2.6.1.2
  • Snort 2.7.0 beta 1

Correções disponíveis

Recomenda-se fazer a atualização para as versões disponíveis em:

  • Snort 2.6.1, 2.6.1.1 e 2.6.1.2
  • Snort 2.7.0 beta 1
    Os usuários que utilizam esta versão do Snort devem desabilitar o pré-processador DCE/RPC. Esta falha será corrigida na versão 2.7.0 beta 2 do Snort.

Formas de mitigação

Usuários do Snort 2.7.0 beta 1 e também do Snort 2.6.1.x que não puderem atualizar o Snort podem desativar o pré-processador DCE/RPC do Snort comentando as seguintes linhas presentes no arquivo snort.conf:

#preprocessor dcerpc: \
#   autodetect \
#   max_frag_size 3000 \
#   memcap 100000

O Snort deve ser reiniciado após estas modificações.


Mais informações


Identificador CVE (http://cve.mitre.org): CVE-2006-5276

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml



Centro de Atendimento a Incidentes de Segurança

Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais