Sicherheitslücke in Intrusion-Detection-Software Snort
Angreifer kann beliebigen Code ausführen. Die freie Intrusion-Detection-Software Snort enthält eine Sicherheitslücke, die es Angreifern erlaubt, beliebigen Programmcode mit den Rechte des Users auszuführen, unter dem Snort läuft (gewöhnlich Root). Das meldet das IT-Sicherheitsunternehmen CoreLabs.
Möglich wird dies durch einen Fehler im Stream4-Präprozessor-Modul, das als Add-On TCP-Pakete zusammen setzt, bevor diese zur Analyse weitergereicht werden. CoreLabs hat nach eigener Aussage nun eine Möglichkeit gefunden, einen Heap Overflow in diesem Modul hervorzurufen.
Um diese Sicherheitslücke auszunutzen, ist ausreichend entsprechend aufbereiteter Internetverkehr in die "Nähe" eines Snort-Systems zu bringen, so das dieses den Traffic analysiert. Es ist also nicht notwendig, den Host direkt zu attackieren, auf dem der Snort-Sensor läuft.
Laut CoreLabs sind Versionen bis Snort 2.0 bis zum Release Candidate 1 sowie Snort 1.9.x und Snort 1.8.x verwundbar.
Das am 14. April 2003 veröffentlichte Snort 2.0 soll das Problem beheben.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.