Falla in Snort, molte le reti a rischio

Tra gli esperti di sicurezza c'Ŕ allarme per una vulnerabilitÓ che affligge uno dei software per la sicurezza pi¨ celebri dell'open source. Tutti invitati a scaricare la nuova versione corretta

Roma - Snort, programma open source che si autodefinisce "lo standard de facto per l'intrusion detection", Ŕ finito in questi giorni sotto i riflettori della comunitÓ di esperti di sicurezza. Le release del software precedenti alla 2.4.x, esclusa l'appena rilasciata 2.4.3, contengono infatti una vulnerabilitÓ che potrebbe mettere in serio pericolo la sicurezza di molti server aziendali.

Lo US-CERT, che ha dedicato al problema questo advisory, spiega che la falla Ŕ contenuta nel plug-in utilizzato da Snort per rilevare il famoso e controverso programma Back Orifice. Il bug consiste in un buffer overflow che pu˛ consentire ad un aggressore di eseguire del codice da remoto con gli stessi privilegi con cui gira Snort, tipicamente quelli di root o system.

"Ci˛ significa che un aggressore pu˛ prendere il controllo completo di un sistema vulnerabile", si legge nel rapporto dello US-CERT. "L'aggressore non ha bisogno di attaccare direttamente il sensore di Snort: gli Ŕ sufficiente prendere a bersaglio qualsiasi host o rete monitorati da Snort".
Sebbene la vulnerabilitÓ possa essere sfruttata solo se la rilevazione di Back Orifice Ŕ attiva, la portata del problema appare ugualmente molto ampia: Snort Ŕ infatti il software di intrusion detection e prevention pi¨ diffuso sul mercato, e il suo codice si trova all'interno di diversi pacchetti commerciali. Tra questi vi sono quelli venduti dalla stessa societÓ che sviluppa Snort, Sourcefire, che fra l'altro sta per essere acquisita da Check Point.

Il problema di Snort ha spinto l'Internet Storm Center di SANS Institute ad elevare il proprio livello di allerta, chiamato "infocon", a giallo: lo stesso utilizzato all'epoca della propagazione del famigerato worm Blaster.

Oltre a correggere il bug, la nuova versione 2.4.3 di Snort Ŕ in grado di rilevare eventuali exploit progettati per sfruttare la recente vulnerabilitÓ.
TAG: sicurezza
21 Commenti alla Notizia Falla in Snort, molte le reti a rischio
Ordina
  • osservati sto -1

    non+autenticato
  • >Il bug consiste in un buffer overflow che può >consentire ad un aggressore di eseguire del >codice da remoto con gli stessi privilegi con cui
    >gira Snort, tipicamente quelli di root o system.

    Personalmente , le volte che ho utilizzato snort per i mie network , ho sempre creato un gruppo snort e un utente snort senza shell , non ho mai avuto bisogno di dare permessi di root o system a questo ids , ergo , "tipicamente" un gran C****Sorride

    Massimo
    non+autenticato
  • ma forse non hai capito il punto "buffer overflow". Con il buffer overflow non interessa nulla come gestisci il tuo ids o gli utenti... questo exploit va a modificare lo stack della memoria del server e tramite giochini che gli hacker sanno fare, riescono a quel punto a fare andare cio che vogliono.
    Spero di essere stato chiaro.
    Luca.
    non+autenticato
  • Comunque al massimo ottieni i permessi dell'utente di snort. Poi devi comunque fare una scalata a root e allora dovresti usare altre vulnerabilità. Lo stack overflow di permette di eseguire codice con il privilegio dell'utente del processo vulnerabile.
    non+autenticato
  • Se devi controllare il traffico di una rete cmq. e snort non è installato sul firewall devi usare la modalità promiscua che non si può usare se non sei root
    non+autenticato

  • - Scritto da: Anonimo
    > Lo stack overflow di permette di
    > eseguire codice con il privilegio dell'utente del
    > processo vulnerabile.

    falso, nello stack non c'è solo il tuo processo.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Lo stack overflow di permette di
    > > eseguire codice con il privilegio dell'utente
    > del
    > > processo vulnerabile.
    >
    > falso, nello stack non c'è solo il tuo processo.

    infatti, ci sono anche yoghi e bubu!

    oppure un processo ha un suo stack, chi lo sa?
    non+autenticato

  • - Scritto da: Anonimo
    > >Il bug consiste in un buffer overflow che può
    > >consentire ad un aggressore di eseguire del
    > >codice da remoto con gli stessi privilegi con
    > cui
    > >gira Snort, tipicamente quelli di root o system.
    >
    > Personalmente , le volte che ho utilizzato snort
    > per i mie network , ho sempre creato un gruppo
    > snort e un utente snort senza shell , non ho mai
    > avuto bisogno di dare permessi di root o system a
    > questo ids , ergo , "tipicamente" un gran C****
    >Sorride
    >
    > Massimo

    non+autenticato
  • >Il bug consiste in un buffer overflow che può >consentire ad un aggressore di eseguire del >codice da remoto con gli stessi privilegi con cui
    >gira Snort, tipicamente quelli di root o system.

    Personalmente , le volte che ho utilizzato snort per i mie network , ho sempre creato un gruppo snort e un utente snort senza shell , non ho mai avuto bisogno di dare permessi di root o system a questo ids , ergo , "tipicamente" un gran C****Sorride
    non+autenticato
  • Tutti gli occhi puntati sul mondo closed source, ed in particolare su Microsoft Windows, e nessuno si accorge le continue figuracce e porcherie sfornate dall'Open Source. OpenSource==+Sicurezza? Ma quando mai! Prodotti che dovrebbero garantire la sicurezza , addirittura mettono a rischio la stessa!
    Buffer Overflow che agli esperti (o presunti) dovrebbero essere conosciuti da più di 10 anni, continuano ad essere presenti in prodotti per la sicurezza!

    E' una vergogna!
    non+autenticato
  • mapperpiacere va' a nanna va'..
    non+autenticato

  • - Scritto da: Anonimo
    > Bla bla bla
    > bla bla bla bla
    > bla bla
    > bla bla bla bla bla bla bla
    > bla bla bla bla
    > bla bla bla bla bla bla bla bla bla bla
    > bla bla bla bla
    > E' una vergogna!

    E' evidente il tentativo da troll.
    E questi continui fastidiosissimi post di anti-winari, anti-linari, open-sorci e dragasaccocce stanno terribilmente abbassando il livello di punto informatico.

    Inutile dire che essendo Snort un prodotto dedicato a chi di sicurezza se ne intende dopo un breve periodo di caos gli admin responsabili avranno tutti patchato le loro macchine. E questo sarebbe accaduto anche se snort fosse stato closed source.

    Per favore, smettiamola di gridare allo scandalo ogni volta che si scopre un bug pericoloso (succede ogni giorno), e magari scambiamoci informazioni sulla sua effettiva pericolosità, sui workaround, sulle patch disponibili.

    C'è chi parla di questi argomenti per passione, chi ne parla perchè ci lavora. Il flaming danneggia tutti, rende i forum illeggibili e cercare informazioni utili è difficile e costoso in termini di tempo.

    Un po' di maturità gioverebbe a tutti.
  • sciaff...
    minchia!

    scusa, stavo leggendo, solito bla bla, solito bla bla, ragazzino, stupidata, mi cala la palpebra e....

    E' VERO!
    BASTA!!!!

    sono 5 0 6 anni che leggo PI, oh, ragazzini, pro e contro, flammers BASTA
    MI AVETE ROTTO
    MI FATE PERDERE TEMPO

    NON MI D A T E NULLA

    passa la voglia di discutere in modo intelligente
    grazie, scusa, mi ero assopito alla tendenza, non e' giusto!

    PI solo per i registrati?
    Non sarebbe male?
    Pagherei....
    non+autenticato
  • quoto in toto

    e basta con le guerre di religione informatica.

    Propongo che ogni giorno ci sia un articolo con le sole parole:
    "Firefox, Opera, XP, Vista, Linux, MacOS, Thunderbird, Outlook"

    Nient'altro: un parafulmine anti troll. Chi vuole sfogarsi lo faccia in quel forum.


  • - Scritto da: Anonimo
    > Tutti gli occhi puntati sul mondo closed source,
    > ed in particolare su Microsoft Windows, e nessuno
    > si accorge le continue figuracce e porcherie
    > sfornate dall'Open Source.
    > OpenSource==+Sicurezza? Ma quando mai! Prodotti
    > che dovrebbero garantire la sicurezza ,
    > addirittura mettono a rischio la stessa!
    > Buffer Overflow che agli esperti (o presunti)
    > dovrebbero essere conosciuti da più di 10 anni,
    > continuano ad essere presenti in prodotti per la
    > sicurezza!
    >
    > E' una vergogna!


    Appunto zio, conoscuiti da 10 anni allora perchè la ms esiste dal 1975 quindi 30 anni però non passa giorno che non ne trovino uno in explorer o nel sistema stesso
    non+autenticato
  • Non dimentichiamo poi che è stato già patchato
  • in ogni caso se tu ti fossi preso la briga di leggere l'articolo ti saresti accorto che il buco è già stato patchato
  • quoto
    non+autenticato
  • Solito bamboccio che non conosce l'informatica...
    non dategli retta, rispondete casomai a discussioni vere, non queste bambinate...
    ma come si fa a dire che l'open source......vabbè va...
    ciao a tutti.
    non+autenticato

  • Con tutto il rispetto, ma la pessima figura l'ha fatta chi ha creato il thread con un post del genere.

    La figura di uno che con l'informatica nulla ah a che fare.
    (e dire che questo sito si chiama Punto Informatico)



    non+autenticato