Vulnérabilité de Snort

Gestion du document

Référence	CERTA-2005-AVI-408
Titre	Vulnérabilité de Snort
Date de la première version	19 octobre 2005
Date de la dernière version	19 octobre 2005
Source(s)	Bulletin de sécurité Snort du 18 octobre 2005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Versions de Snort antérieures à la version 2.4.3.

Description

Snort est un logiciel libre de détection d'intrusion.
Une vulnérabilité dans le pré-processeur Back Orifice de Snort permet à un utilisateur mal intentionné, au moyen d'un paquet habilement construit, d'exécuter du code arbitraire à distance sur la machine vulnérable.

Contournement provisoire

Désactiver le pré-processeur Back Orifice. Pour cela, commenter la ligne preprocessor bo dans le fichier de configuration Snort snort.conf.
Redémarrer Snort afin de prendre en compte les modifications.

Solution

Mettre à jour Snort en version 2.4.3.
Snort est téléchargeable à l'adresse suivante :

http://www.snort.org/dl/

Documentation

Site Internet de Snort :
```
http://www.snort.org
```
Bulletin de sécurité Snort du 18 octobre 2005 :
```
http://www.snort.org/pub-bin/snortnews.cgi#99
```

Liste des changements dans Snort 2.4.3 :

http://www.snort.org/docs/change_logs/2.4.3/Changelog.txt

Bulletin de sécurité US-CERT VU#175500 du 18 octobre 2005 :
```
http://www.kb.cert.org/vuls/id/175500
```

Référence CVE CAN-2005-3252 :

https://www.cve.org/CVERecord?id=CAN-2005-3252

Avis du CERT-FR

Objet: Vulnérabilité de Snort