Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3289 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Snort Buffer Overflow (US-CERT SECURITY ALERT)

Jhaislet
Does this affect IDS in Astaro v6.303 or v7.001?


                    National Cyber Alert System

              Technical Cyber Security Alert TA07-050A


Sourcefire Snort DCE/RPC Preprocessor Buffer Overflow

  Original release date: February 19, 2007
  Last revised: --
  Source: US-CERT


Systems Affected

    * Snort 2.6.1, 2.6.1.1, and 2.6.1.2
    * Snort 2.7.0 beta 1
    * Sourcefire Intrusion Sensors version 4.1.x, 4.5.x, and 4.6x with
      SEUs prior to SEU 64
    * Sourcefire Intrusion Sensors for Crossbeam version 4.1.x, 4.5.x,
      and 4.6x with SEUs prior to SEU 64

  Other products that use Snort or Snort components may be affected.


Overview

  A stack buffer overflow vulnerability in the Sourcefire Snort
  DCE/RPC preprocessor could allow an unauthenticated, remote
  attacker to execute arbitrary code with the privileges of the Snort
  process.


I. Description

  Sourcefire Snort is a widely-deployed, open-source network
  intrusion detection system (IDS). Snort and its components are used
  in other IDS products, notably Sourcefire, and Snort is included
  with a number of operating system distributions. The DCE/RPC
  preprocessor reassembles fragmented SMB and DCE/RPC traffic before
  passing data to the Snort rules.

  The vulnerable code does not properly reassemble certain types of
  SMB and DCE/RPC packets. An attacker could exploit this
  vulnerability by sending a specially crafted TCP packet to a host
  or network monitored by Snort. The DCE/RPC preprocessor is enabled
  by default, and it is not necessary for an attacker to complete a
  TCP handshake.

  US-CERT is tracking this vulnerability as VU#196240. This
  vulnerability has been assigned CVE number CVE-2006-5276. Further
  information is available in advisories from Sourcefire and ISS.


II. Impact

  A remote, unauthenticated attacker may be able to execute arbitrary
  code with the privilege level of the Snort preprocessor.


III. Solution

Upgrade

  Snort 2.6.1.3 is available from the Snort download site. Sourcefire
  customers should visit the Sourcefire Support Login site.

Disable the DCE/RPC Preprocessor

  To disable the DCE/RPC preprocessor, comment out the line that loads
  the preprocessor in the Snort configuration file (typically
  /etc/snort.conf on UNIX and Linux systems):

    [/etc/snort.conf]
    ...
    #preprocessor dcerpc...
    ...

  Restart Snort for the change to take effect.

  Disabling the preprocessor will prevent Snort from reassembling
  fragmented SMB and DCE/RPC packets. This may allow attacks to evade
  the IDS.


IV. References

    * US-CERT Vulnerability Note VU#196240 -
      

    * Sourcefire Advisory 2007-02-19 -
      

    * Sourcefire Support Login - 

    * Sourcefire Snort Release Notes for 2.6.1.3 -
      

    * Snort downloads - 

    * DCE/RPC Preprocessor -
      

    * IBM Internet Security Systems Protection Advisory -
      

    * CVE-2006-5276 -
      


This thread was automatically locked due to age.
Parents
  • 0
    On 6.303 snort_inline -V reports this:

       ,,_     -*> Snort_Inline! 


    On 7.001 snort_inline -V reports this:

       ,,_     -*> Snort! 


    So I would expect this vulnerability to affect 7.001 (if the DCE/RPC processor is enabled) and not 6.303 but who knows since it appears that snort 2.4.5 isn't supported anymore.
  • 0 in reply to drees
    ASG is *not* affected by this vulnerability (neither V5, V6 nor V7), since the preprocessor mentioned in the security advisory is disabled on ASG.

    Stephan
  • 0 in reply to Stephan_Scholz
    I would recommend an official announcement sent directly to the administrators of all Astaro Security Linux products (software and hardware).  They can bring this to their bosses.

    What to include in such a memo:

      1) A detailed description of the problem and how serious it is.
      2) Why Astaro is not vulnerable
      3) Why choosing Astaro continues to be an excellent enterprise investment.
      4) (optional) Why Astaro will remain the superior choice in enterprise security
  • 0 in reply to SalishSwede
    That's a great idea. I think a general "announce" style mailing list would work out great for this type of notice as well as all the same type of stuff that gets posted to up2date.astaro.com
  • 0 in reply to SalishSwede
    Dougga,

    you're damn right.
    Its very calm from Astaro side when there are Vuln's.
    It would look good if they would react not only when there is a Vuln which affects their product, and react with a up2date.
    It would be looking good for public relations (to let !!!!!THEIR!!!!! customers feel save) when there was a Vuln but Astaro isnt affected of it.

    And on top i disliked the corrupt 6.303 file (there should have been a 6.304 afterwards and not a reloaded file) and also the 1st corrupt 7.00 Iso file...(it should have been 7.001 Iso and not 7.000 ver2 afterwards to keep transparency to the users and reseller also...
    I ran into 3 problems because of that,dont see a reason why not release a 2nd uptodate better instead of trying to keep people silly...!!??!? [:)]

    Thanx
    bbb
Reply
  • 0 in reply to SalishSwede
    Dougga,

    you're damn right.
    Its very calm from Astaro side when there are Vuln's.
    It would look good if they would react not only when there is a Vuln which affects their product, and react with a up2date.
    It would be looking good for public relations (to let !!!!!THEIR!!!!! customers feel save) when there was a Vuln but Astaro isnt affected of it.

    And on top i disliked the corrupt 6.303 file (there should have been a 6.304 afterwards and not a reloaded file) and also the 1st corrupt 7.00 Iso file...(it should have been 7.001 Iso and not 7.000 ver2 afterwards to keep transparency to the users and reseller also...
    I ran into 3 problems because of that,dont see a reason why not release a 2nd uptodate better instead of trying to keep people silly...!!??!? [:)]

    Thanx
    bbb
Children
No Data