jueves, 31 de enero de 2002

Denegación de servicio remota sobre Snort IDS

El Sistema de Detección de Intrusiones Snort de Marty Roesch se ve
afectado por una vulnerabilidad de denegación de servicio que posibilite
a un atacante detener la funcionalidad de este servicio y por tanto,
proceder a un ataque posterior sin problemas al resto de la red.
Snort es un sistema de detecciones de intrusos open-source diseñado para
ser simple y ligero. Snort implementa funcionalidades de registro de
paquetes, análisis de protocolos, comparación de firmas de ataques y
capacidades de reconocimiento.

Un atacante remoto podrá enviar paquetes ICMP especialmente manipulados
al sistema detector de intrusos lo que provocará un fallo de
segmentación que causará la caida del motor de Snort. Si el atacante
consigue lanzar un ataque exitoso contra una red protegida por Snort,
toda la funcionalidad de detección de intrusiones se verá deshabilitada
hasta que el sistema se reinicie manualmente.

Se ven afectadas por este problema todas las versiones inferiores a
Snort 1.8.3 para todas las plataformas soportadas. Se ha publicado un
exploit que demuestra un error en la funcionalidad de tratamiento del
protocolo ICMP. Snort maneja de forma incorrecta paquetes ICMP "Echo" e
ICMP "Echo-Reply" que contengan menos de 5 bytes de datos ICMP. Si Snort
encuentra un paquete de esta forma dejará de funcionar y terminará su
funcionamiento.

Se recomienda a todos los usuarios de Snort que instalen el parche
publicado por Snort.org o se actualicen a la última versión del
programa.



Antonio Ropero
antonior@hispasec.com


Más información:

Aviso de Seguridad de ISS:
http://xforce.iss.net/alerts/advise108.php

ISS: Snort specially-crafted ICMP packet denial of service
http://xforce.iss.net/static/7874.php

Marty Roesch Snort

http://www.snort.org