Risque
- Contournement de la politique de sécurité
Systèmes affectés
Les versions de Snort antérieures à 2.8.1 et disposant d'un « préprocesseur » activé frag3.
Résumé
Une vulnérabilité a été identifiée dans Snort. Elle permettrait de contourner la politique de détection mise en place.
Description
Une vulnérabilité a été identifiée dans le préprocesseur frag3 de Snort. Celui-ci réassemble des trames IP ayant été fragmentées. Il considère par ailleurs que tous les fragments doivent avoir une valeur Time-To-Live relativement proche du fragment initial. Dans le cas contraire, le paquet ne sera pas inspecté avec les règles de détection mises en place.
Cette vulnérabilité peut être exploitée pour contourner la politique de détection.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité iDefense 701 du 21 mai 2008 : http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=701
- Notes de changement de Snort (sourcefire) : http://cvs.snort.org/viewcvs.cgi/snort/ChangeLog?rev=1.534.2.11
- Référence CVE CVE-2008-1804 https://www.cve.org/CVERecord?id=CVE-2008-1804
