La empresa de seguridad iDefense ha informado de una vulnerabilidad en la nueva versión 2.8.1 que fue publicada de Snort, en la cual se suponía que dicha vulnerabilidad estaba corregida.
Dicha vulnerabilidad permite a un atacante saltarse las reglas de filtrado de detección de intrusos que tiene la herramienta Snort.
Aún no esta muy claro porque iDefense ha revelado los detalles del descubrimiento de este fallo de seguridad y porque Sourcefire no menciono la vulnerabilidad en las notas que se publicaron sobre la nueva versión el 1 de Abril.
iDefense comenta que la vulnerabilidad se debe por el método que se procesa el valor del TTL(Time To Live) de los paquetes IP. Según el aviso de seguridad, Snort no estaba evaluando la diferencia entre los últimos fragmentos entrantes y los paquetes iniciales cuando eran superiores a un valor definido.
Esto permitiría a un atacante usar un TTL con un valor erróneo que causarí en Snort que no aplicará las reglas de detección sobre ese paquete. Según iDefense, sólo las versiones de Snort 2.8 y 2.6 estan afectadas.
Una de las alternativas que se puede hacer a la hora de realizar la instalación de la actualización, es incrementar el número a 255 en el fichero de configuración de snort(snort.conf), más concretamente en :
Dicha vulnerabilidad permite a un atacante saltarse las reglas de filtrado de detección de intrusos que tiene la herramienta Snort.
Aún no esta muy claro porque iDefense ha revelado los detalles del descubrimiento de este fallo de seguridad y porque Sourcefire no menciono la vulnerabilidad en las notas que se publicaron sobre la nueva versión el 1 de Abril.
iDefense comenta que la vulnerabilidad se debe por el método que se procesa el valor del TTL(Time To Live) de los paquetes IP. Según el aviso de seguridad, Snort no estaba evaluando la diferencia entre los últimos fragmentos entrantes y los paquetes iniciales cuando eran superiores a un valor definido.
Esto permitiría a un atacante usar un TTL con un valor erróneo que causarí en Snort que no aplicará las reglas de detección sobre ese paquete. Según iDefense, sólo las versiones de Snort 2.8 y 2.6 estan afectadas.
Una de las alternativas que se puede hacer a la hora de realizar la instalación de la actualización, es incrementar el número a 255 en el fichero de configuración de snort(snort.conf), más concretamente en :
preprocessor frag3_engine: ttl_limit 255
Sin embargo los usuarios que aún no han realizado la actualización a la versión actual estan siendo avisados de que realicen dichos cambios en el fichero de configuración.
No hay comentarios:
Publicar un comentario