公開日:2003/04/18 最終更新日:2003/04/18

JVNCA-2003-13
Snort プリプロセッサに複数の脆弱性

概要

侵入検知システム Snort のプリプロセッサに 2つの脆弱性が確認されました。これらの脆弱性は、Snort に付加的な機能を提供する 2つのプロプロセッサモジュール ("stream4" TCP fragment reassembly preprocessor, RPC preprocessor) のそれぞれに存在します。
脆弱性については、遠隔から任意のコードを実行される可能性があります。

影響を受けるシステム

  • VU#139129: Snort IDS バージョン 1.8.x, 1.9.x, 2.0 RC1 未満
  • VU#916785: Snort versions 1.8.x から 1.9.0, 2.0 Beta

詳細情報

想定される影響

遠隔から第三者が Snort プロセスの権限 (通常、管理者権限) で任意のコードを実行する可能性があります。結果として、脆弱なシステム上の管理者権限を取得する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Debian snort -- integer overflow, buffer overflow
富士通 CA-2003-13に対する富士通の情報
富士通 CA-2003-13に対するSolaris OEの情報
Snort.org http://www.snort.org/
Snort.org Snort Information for VU#139129
Snort.org Snort Information for VU#916785

参考情報

  1. CERT Vulnerability Note VU#139129
    Heap overflow in Snort "stream4" preprocessor
  2. CERT Vulnerability Note VU#916785
    Buffer overflow in Snort RPC preprocessor
  3. CIAC Bulletin N-078
    Snort Integer Overflow in Stream4 (TCP) Vulnerability
  4. Internet Security Systems
    Snort での RPC プリプロッセッシングの脆弱点
  5. V-STAF: snort-rpc-fragment-bo (10956)
    xxx
  6. V-STAF: snort-stream4-reassemble-bo (11799)
    xxx
  7. LAC
    CERT Advisory CA-2003-13 Multiple Vulnerabilities in Snort Preprocessors [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2003-1001
JPCERT/CC REPORT 2003-03-12
JPCERT-WR-2003-1601
JPCERT/CC REPORT 2003-04-23
JPCERT-WR-2003-1801
JPCERT/CC REPORT 2003-05-08
CERT Advisory CERT Advisory CA-2003-13
Multiple Vulnerabilities in Snort Preprocessors
CPNI Advisory
TRnotes
CVE CAN-2003-0209
VU#139129,XF11799
CAN-2003-0033
VU#916785,XF10956
JVN iPedia