Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Versions de Snort antérieures à la version 2.4.3.
Description
Snort est un logiciel libre de détection d'intrusion.
Une vulnérabilité dans le pré-processeur Back Orifice de Snort permet à un utilisateur mal intentionné, au moyen d'un paquet habilement construit, d'exécuter du code arbitraire à distance sur la machine vulnérable.
Contournement provisoire
Désactiver le pré-processeur Back Orifice. Pour cela, commenter la ligne preprocessor bo dans le fichier de configuration Snort snort.conf.
Redémarrer Snort afin de prendre en compte les modifications.
Solution
Mettre à jour Snort en version 2.4.3.
Snort est téléchargeable à l'adresse suivante :
http://www.snort.org/dl/
Documentation
- Site Internet de Snort :
http://www.snort.org
- Bulletin de sécurité Snort du 18 octobre 2005 :
http://www.snort.org/pub-bin/snortnews.cgi#99
- Liste des changements dans Snort 2.4.3 :
http://www.snort.org/docs/change_logs/2.4.3/Changelog.txt
- Bulletin de sécurité US-CERT VU#175500 du 18 octobre 2005 :
http://www.kb.cert.org/vuls/id/175500
- Référence CVE CAN-2005-3252 :
https://www.cve.org/CVERecord?id=CAN-2005-3252