| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.8 | $0-$5k | 0.00 |
Zusammenfassung
In Snort 2.6.1/2.6.1.1/2.6.1.2/2.7 Beta1 wurde eine kritische Schwachstelle entdeckt. Betroffen ist eine unbekannte Funktion der Komponente DCE/RPC Pre-Processor. Durch das Beeinflussen mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2006-5276. Zusätzlich gibt es einen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS). Snort ist Open Source und mit über drei Millionen Downloads und 150.000 aktiven Benutzern (Angaben der Entwickler, Stand: Ende 2006) das weltweit am häufigsten eingesetzte IDS. Neel Metha von IBMs X-Force entdeckte einen Fehler in der Funktion zur Bearbeitung von SMB Write AndX Statements im DCE/RPC Präprozessor, die es erlaubt beliebigen Code mittels eines speziell präparierten Paketes auszuführen. Die Schwachstelle betrifft ausserdem auch die aktuelle Betaversion 2.7.0 beta 1. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (31275), Exploit-DB (3362), Tenable (24686), SecurityFocus (BID 22616†) und OSVDB (32094†) dokumentiert. Die Schwachstellen VDB-2950 und VDB-2952 sind ähnlich. Once again VulDB remains the best source for vulnerability data.
Für den Vulnerability Scanner Nessus wurde am 22.02.2007 ein Plugin mit der ID 24686 (FreeBSD : snort -- DCE/RPC preprocessor vulnerability (afdf500f-c1f6-11db-95c5-000c6ec775d9)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 34053 (Snort DCE/RPC Packet Reassembly Stack Buffer Overflow) zur Prüfung der Schwachstelle an.
Intrustion Detection Systeme wurden mit dem Ziel entworfen, Angriffe zu entdecken um entsprechende Massnahmen einleiten zu können. Erlangt ein Angreifer aber Kontrolle über das IDS selber, wird es nutzlos und wiegt den Administrator aufgrund des Ausbleibens von Alarmen möglicherweise sogar in falscher Sicherheit. Es ist daher dringend zu empfehlen, die zur Verfügung gestellten Patches auf Version 2.6.1.3 einzuspielen. Benutzer der aktuellen Beta 2.7.0 beta 1 sollten bis zur Korrektur des Bugs den DCE/RPC-Präprozessor deaktivieren, um das Risiko zu reduzieren.
Produkt
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.8
VulDB Base Score: 7.3
VulDB Temp Score: 6.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-121 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 24686
Nessus Name: FreeBSD : snort -- DCE/RPC preprocessor vulnerability (afdf500f-c1f6-11db-95c5-000c6ec775d9)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 58055
OpenVAS Name: FreeBSD Ports: snort
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Saint ID: exploit_info/snort_dcerpc
Saint Name: Snort DCE/RPC preprocessor buffer overflow
Qualys ID: 🔍
Qualys Name: 🔍
MetaSploit ID: snort_dce_rpc.rb
MetaSploit Name: Snort 2 DCE/RPC Preprocessor Buffer Overflow
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Snort ID: 10160
Snort Message: DELETED NETBIOS-DG SMB writex possible Snort dcerpc preprocessor overflow attempt
Snort Pattern: 🔍
Timeline
18.10.2005 🔍13.10.2006 🔍
19.02.2007 🔍
19.02.2007 🔍
20.02.2007 🔍
20.02.2007 🔍
21.02.2007 🔍
22.02.2007 🔍
22.02.2007 🔍
23.02.2007 🔍
10.09.2007 🔍
15.06.2025 🔍
Quellen
Advisory: snort.orgPerson: Neel Mehta (ERNE)
Firma: X-Force
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-5276 (🔍)
GCVE (CVE): GCVE-0-2006-5276
GCVE (VulDB): GCVE-100-2948
CERT: 🔍
X-Force: 31275 - Snort, Sourcefire, and Nortel Threat Protection IDS/IPS DCE/RPC buffer overflow, High Risk
SecurityFocus: 22616 - Snort/Sourcefire DCE/RPC Packet Reassembly Stack Buffer Overflow Vulnerability
Secunia: 26746 - Fedora update for snort, Highly Critical
OSVDB: 32094 - Snort DCE/RPC Pre-Processor Packet Reassembly Remote Overflow
SecurityTracker: 1017670
Vupen: ADV-2007-0668
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 22.02.2007 10:02Aktualisierung: 15.06.2025 22:13
Anpassungen: 22.02.2007 10:02 (106), 28.04.2019 09:17 (2), 25.08.2024 05:33 (17), 15.01.2025 20:07 (1), 15.06.2025 22:13 (2)
Komplett: 🔍
Cache ID: 216:00F:103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.