Schwachstelle in Snort ermöglichte Umgehen der Filter
Der Sicherheitsdienstleister iDefense hat Informationen über eine bereits in der Snort-Version 2.8.1 beseitigte Schwachstelle veröffentlicht, mit der sich die Filteregeln des Intrusion Detection Systems umgehen lassen.
Der Sicherheitsdienstleister iDefense hat Informationen über eine bereits in der Snort-Version 2.8.1 beseitigte Schwachstelle veröffentlicht, mit der sich die Filteregeln des Intrusion Detection Systems umgehen lassen. Warum iDefense die Details über den von ihm entdeckten Fehler erst jetzt herausgibt und der Hersteller Sourcefire sich in seinen Release Notes vom 1. April darüber ausschweigt, ist unklar.
Laut iDefense lag der Fehler in der Auswertung des Time-To-Live-Werts (TTL) in IP-Fragmenten. War die Differenz zwischen dem gerade empfangenen Fragment und dem initialen Paket größer als die definierte Differenz, so untersuchte Snort laut Fehlerbericht das Fragment nicht weiter. Mit manipulierten TTL-Werten könnte ein Angreifer verhindern, dass Snort seine Regel auf das Paket anwendet, um eine Attacke zu erkennen. Standardmäßig ist die maximale Differenz in Snort mit 5 vorgegeben. Betroffen war laut iDefense nur Snort 2.8 und 2.6. Alternativ zum Update hilft es, in der Snort-Konfigurationsdatei snort.conf das Limit auf 255 zu erhöhen: preprocessor frag3_engine: ttl_limit 255.
Anwender, die noch nicht auf die aktuelle Version gewechselt haben, sollten dies nun nachholen.
Siehe dazu auch:
- Multiple Vendor Snort IP Fragment TTL Evasion Vulnerability, Fehlerbericht von iDefense
(dab)
