Date de Publication: 2003-04-16
 Titre: Snort TCP Stream Reassembly Integer Overflow Vulnerability
 K-Otik ID : 0021
 Bugtraq ID: 7178
 Exploitable à distance : Oui
 Exploitable en local : Non

 
  * Description Technique - Exploit *

Snort est un programme open-source dédié à la détection d'intrusions réseau, il peut détecter plusieurs types d'attaques en analysant les paquets reçus et en les comparant à sa propre base de données. Snort comprend aussi plusieurs modules et plugins permettant par exemple l'analyse de protocoles.

Un problème de type overflow existe dans le module "stream4" de Snort (il sert à rassembler le trafic TCP avant de l'analyser). L'exploitation de ce buffer overflow permet d'exécuter par exemple du code arbitraire à distance, avec les privilèges utilisateur, sur un système ou est exécuté "Snort Sensor".


  * Versions Vulnérables *
 
  Snort 2.0 versions inferieures à RC1
  Snort 1.9.x
  Snort 1.8.x


  * Solution *
 
Utiliser la nouvelle version Snort 2.0

 
  * Crédits *
 
 Faille découverte par l'équipe de Core Security Technologies (Avril 2003).