CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
6.6 | $0-$5k | 0.00 |
Snort ist ein sehr populäres, im Quelltext frei erhältliches netzwerkbasierendes Intrusion Detection-System. Es ist für UNIX, Linux und Microsoft Windows verfügbar. Das stream4 Präprozessor-Modul ist für die Reassemblierung des TCP-Verkehrs vor dessen eigentlicher Analyse zuständig. In diesem Modul wurde ein Pufferüberlauf entdeckt, der sich durch TCP-Sequenznummern, die den üblichen 32-bit Wert sprengen, herbeiführen lässt. Der Angreifer braucht dabei nicht direkt zu wissen, auf welchem Host Snort läuft. Es ist lediglich ein Versand des bösartigen TCP-Verkehrs notig, bei dem man sicher sein kann, dass er von einem Snort-Sensor inspiziert werden wird. Ein erfolgreiches Ausnutzen dieser Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit den Rechten des Snort-Sensors (normalerweise root) auf dem verwundbaren System. Als Workaround wird das Deaktivieren des TCP-Stream Reassemblierungs Präprozessurs durch die Anweisung "preprocessor stream4_reassemble" in der Konfigurationsdatei von Snort empfohlen. Obschon dies diesen Pufferüberlauf verhindern wird, sind von nun an Fragmentierungs-Attacken möglich. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (11799), Tenable (14036) und Exploit-DB (18) dokumentiert.
Für den Vulnerability Scanner Nessus wurde am 31.07.2004 ein Plugin mit der ID 14036 (Mandrake Linux Security Advisory : snort (MDKSA-2003:052)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Mandriva Local Security Checks zugeordnet und im Kontext l ausgeführt.
Diese Schwachstelle ist sehr kritisch, denn ohne viel Aufwand lässt sich über das Netzwerk Programmcode auf dem Snort-Sensor ausführen. Entsprechende Exploit-Beispiele mittels hping2 sind Teil des Bugtraq-Postings durch www.coresecurity.com. Da Snort aufgrund seiner vielen Vorteile so manchem kommerziellen NIDS vorgezogen wird, werden viele Netzwerke von dieser Schwachstelle betroffen sein. Temporär sind mit dem Workaround lieber Fragmentierungs-Attacken in Kauf zu nehmen, weder die gesamte Sicherheit des Snort-Systems aufs Spiel zu setzen. So wie ich die Snort-Community einschätze, wird ein Patch sehr schnell folgen.
Produkt
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.6
VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-192 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 14036
Nessus Name: Mandrake Linux Security Advisory : snort (MDKSA-2003:052)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 53725
OpenVAS Name: Debian Security Advisory DSA 297-1 (snort)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Upgrade: Snort 2.0
Patch: snort.org
ISS Proventia IPS: 🔍
Timeline
03.03.2003 🔍15.04.2003 🔍
15.04.2003 🔍
15.04.2003 🔍
15.04.2003 🔍
15.04.2003 🔍
23.04.2003 🔍
28.04.2003 🔍
05.05.2003 🔍
30.07.2003 🔍
22.03.2004 🔍
31.07.2004 🔍
08.03.2021 🔍
Quellen
Advisory: coresecurity.comPerson: Discovery (Martin)
Firma: Core Security Technologies
Status: Nicht definiert
CVE: CVE-2003-0209 (🔍)
X-Force: 11799 - Snort stream4 reassemble module buffer overflow, High Risk
Vulnerability Center: 1537 - Integer Overflow in Snort TCP stream4 Module Allows Arbitrary Code Execution, Critical
SecuriTeam: securiteam.com
SecurityFocus: 7178 - Snort TCP Packet Reassembly Integer Overflow Vulnerability
OSVDB: 4444 - Snort stream4 Reassemble Module Overflow
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 15.04.2003 02:00Aktualisierung: 08.03.2021 08:42
Anpassungen: 15.04.2003 02:00 (98), 24.07.2019 16:20 (3), 08.03.2021 08:42 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.