Sourcefire Snort DCE/RPC Preprocessor túlcsordulásos sebezhetőség

CH azonosító

CH-400

Felfedezés dátuma

2007.02.19.

Súlyosság

Magas

Érintett rendszerek

Intrusion Sensor
Intrusion Sensor Software for Crossbeam
Snort
Sourcefire

Érintett verziók

Sourcefire Snort 2.6.0 - 2.6.1.2, 2.7 beta 1
Sourcefire Intrusion Sensor Software for Crossbeam 4.1.x - 4.6.x
Sourcefire Intrusion Sensor 4.1.x - 4.6.x

Összefoglaló

A Sourcefire Snort DCE/RPC preprocessorban egy verem alapú puffer túlcsordulásos sebezhetőség lehetővé teheti, hogy egy jogosulatlan, távoli támadó tetszőleges kódot futtasson le a Snort jogosultságával.

Leírás

A Sourcefire Snort DCE/RPC preprocessorban egy verem alapú puffer túlcsordulásos sebezhetőség lehetővé teheti, hogy egy jogosulatlan, távoli támadó tetszőleges kódot futtasson le a Snort jogosultságával.

A sebezhető kód nem jól állít össze bizonyos típusú SMB és DCE/RPC csomagokat. Egy támadó ezt a sebezhetőséget kiaknázhatja speciálisan erre a célra készített TCP csomagok küldésével a Snort által felügyelt hostra vagy hálózatra.
A DCE/RPC preprocessor alapértelmezetten engedélyezve van, és nem szükséges, hogy egy támadó teljesítse a TCP “kézfogást”.

Megoldás

Frissítsen a legújabb verzióra