Vulnerability ID 2948

Snort 2.6.1/2.6.1.1/2.6.1.2/2.7 Beta1 DCE/RPC Pre-Processor Stack-based Pufferüberlauf

CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
6.8$0-$1k

Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS). Snort ist Open Source und mit über drei Millionen Downloads und 150.000 aktiven Benutzern (Angaben der Entwickler, Stand: Ende 2006) das weltweit am häufigsten eingesetzte IDS. Neel Metha von IBMs X-Force entdeckte einen Fehler in der Funktion zur Bearbeitung von SMB Write AndX Statements im DCE/RPC Präprozessor, die es erlaubt beliebigen Code mittels eines speziell präparierten Paketes auszuführen. Die Schwachstelle betrifft ausserdem auch die aktuelle Betaversion 2.7.0 beta 1. The vulnerability is also documented in the databases at SecurityFocus (BID 22616), X-Force (31275), Secunia (SA26746) and SecurityTracker (ID 1017670). Similar entries are available at 2950 and 2952.

Für den Vulnerability Scanner Nessus wurde am 22.02.2007 ein Plugin mit der ID 24686 (FreeBSD : snort -- DCE/RPC preprocessor vulnerability (afdf500f-c1f6-11db-95c5-000c6ec775d9)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet, im Kontext local ausgeführt und auf den Port 0 angewendet.

Intrustion Detection Systeme wurden mit dem Ziel entworfen, Angriffe zu entdecken um entsprechende Massnahmen einleiten zu können. Erlangt ein Angreifer aber Kontrolle über das IDS selber, wird es nutzlos und wiegt den Administrator aufgrund des Ausbleibens von Alarmen möglicherweise sogar in falscher Sicherheit. Es ist daher dringend zu empfehlen, die zur Verfügung gestellten Patches auf Version 2.6.1.3 einzuspielen. Benutzer der aktuellen Beta 2.7.0 beta 1 sollten bis zur Korrektur des Bugs den DCE/RPC-Präprozessor deaktivieren, um das Risiko zu reduzieren.

CVSSv3

Base Score: 7.3 [?]
Temp Score: 6.8 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:F/RL:O/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.6 (CVSS2#E:F/RL:OF/RC:C) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Status: Funktional
Download: exploit-db.com

Aktuelle Preisschätzung: $50k-$100k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 24686
Nessus Name: FreeBSD : snort -- DCE/RPC preprocessor vulnerability (afdf500f-c1f6-11db-95c5-000c6ec775d9)
Nessus File: fedora_2007-2060.nasl
Nessus Family: FreeBSD Local Security Checks
Nessus Context: local
Nessus Port: 0
OpenVAS ID: 58055
OpenVAS Name: FreeBSD Ports: snort
OpenVAS File: freebsd_snort0.nasl
OpenVAS Family: FreeBSD Local Security Checks

Saint ID: exploit_info/snort_dcerpc
Saint Name: Snort DCE/RPC preprocessor buffer overflow
MetaSploit ID: snort_dce_rpc.rb
MetaSploit File: metasploit-framework/modules/exploits/multi/ids/snort_dce_rpc.rb
MetaSploit Name: Snort 2 DCE/RPC Preprocessor Buffer Overflow

Exploit-DB: 3362

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 1 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 1 Tage seit bekannt
Snort ID: 10160
Snort Message: DELETED NETBIOS-DG SMB writex possible Snort dcerpc preprocessor overflow attempt
Snort Pattern: |11|

Timeline

18.10.2005 OSVDB Eintrag erstellt
13.10.2006 +359 Tage CVE zugewiesen
19.02.2007 +129 Tage NVD veröffentlicht
20.02.2007 +1 Tage Advisory veröffentlicht
21.02.2007 +1 Tage Gegenmassnahme veröffentlicht
22.02.2007 +1 Tage VulDB Eintrag erstellt
22.02.2007 +0 Tage Nessus Plugin veröffentlicht
03.07.2015 +3053 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: snort.org
Person: Neel Mehta
Firma: X-Force
Status: Bestätigt
Bestätigung: www116.nortelnetworks.com

CVE: CVE-2006-5276 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 22616
Secunia: 26746 - Fedora update for snort, Highly Critical
X-Force: 31275 - Snort, Sourcefire, and Nortel Threat Protection IDS/IPS DCE/RPC buffer overflow, High Risk
SecurityTracker: 1017670
OSVDB: 32094
Vupen: ADV-2007-0668

Siehe auch: 2950, 2952

Eintrag

Erstellt: 22.02.2007
Aktualisierung: 03.07.2015
Eintrag: 98% komplett