Se ha descubierto un fallo de seguridad en Snort que podría permitir a un atacante remoto saltar restricciones de seguridad.
Snort es uno de los IDS (Sistema de Detección de Intrusos) más extendidos, Distribuido de forma gratuita como Open Source, Snort puede detectar muchos posibles ataques basándose en el análisis de los paquetes de red según unas bases de datos, además de reglas genéricas.
El fallo reside en el reensamblado de paquetes IP fragmentados. Cuando Snort recibe paquetes fragmentados compara sus valores TTL. Snort tiene un valor predefinido para la diferencia de valores TTL entre paquetes, si el valor de la diferencia entre el primero de ellos y el resto es mayor que este valor los descartará y no aplicará ningún filtro o examen sobre ellos. Un atacante remoto podría aprovechar este fallo para saltar restricciones de seguridad modificando los valores TTL de los paquetes IP.
El problema se ha confirmado en Snort 2.8 y 2.6. Snort 2.4 no es vulnerable. Como contramedida en el archivo de configuración snort.conf, se puede establecer el valor ttl_limit a 255 con la siguiente línea:
preprocessor frag3_engine: ttl_limit 255
Además el fallo queda corregido en la versión 2.8.1
Tomado de una-al-dia
Snort es uno de los IDS (Sistema de Detección de Intrusos) más extendidos, Distribuido de forma gratuita como Open Source, Snort puede detectar muchos posibles ataques basándose en el análisis de los paquetes de red según unas bases de datos, además de reglas genéricas.
El fallo reside en el reensamblado de paquetes IP fragmentados. Cuando Snort recibe paquetes fragmentados compara sus valores TTL. Snort tiene un valor predefinido para la diferencia de valores TTL entre paquetes, si el valor de la diferencia entre el primero de ellos y el resto es mayor que este valor los descartará y no aplicará ningún filtro o examen sobre ellos. Un atacante remoto podría aprovechar este fallo para saltar restricciones de seguridad modificando los valores TTL de los paquetes IP.
El problema se ha confirmado en Snort 2.8 y 2.6. Snort 2.4 no es vulnerable. Como contramedida en el archivo de configuración snort.conf, se puede establecer el valor ttl_limit a 255 con la siguiente línea:
preprocessor frag3_engine: ttl_limit 255
Además el fallo queda corregido en la versión 2.8.1
Tomado de una-al-dia
No hay comentarios:
Publicar un comentario