Snort 의 Stream4 (TCP) Integer Overflow 취약점

-- 제목 --------------
Snort 의 Stream4 (TCP) Integer Overflow 취약점.

-- 해당 시스템 --------
Snort 2.0.0 beta 버젼
Snort 1.9.x
Snort 1.8.x

--영향-----------------
서비스거부공격(DoS) 공격을 일으킬 수 있으며, 원격에서 명령어를 실행시킬 수 있다.

-- 설명-----------------------------
Snort는 실시간 트래픽 분석과 IP 네트워크 상에 패킷 로그를 할 수 있는 네트워크 침입 탐지 시스템이다.

이것은 프로토콜 분석, 내용 검색/매칭을 수행할 수 있으며 오버플로우, 은밀한 포트 스캔, OS 탐지 시도 등 여러 가지 종류의 공격을 탐지하는 데 많이 사용된다.

preprocessor는 침입탐지 엔진이 패킷에 대한 ruleset을 적용하기 전에 data flow를 검사하기 위한 리스트이다.

그런데, 이 리스트에 포함된 Snort stream4 preprocessor(spp_stream4) 모듈에 TCP 패킷을 재조합하는 과정에서

integer overflow  취약점이 발견되었다. 즉, 위 모듈에 특정 시퀀스 번호를 지닌 연속된 TCP 패킷을 수신하여 재조합도중에, 잘못 계산된 크기의 데이터가 한정된 크기의 버퍼에 쓰여지게 된다.  

이로 인하여, 공격자가 원격에서 명령어를 실행시킬 수 있으며 서비스거부공격(DoS) 공격을 일으킬 수 있다.

이에 대한 근본적인 해결책은 관련된 취약점에 대한 보안패치를 적용하는 것이다.

-- 해결책--------------------------      

1. 보안 패치된 Snort 2.0 을 다운로드 받아 설치한다.

   다운로드 사이트

- http://www.snort.org/dl/snort-2.0.0.tar.gz

2. 임시적인 조치방법으로 해당 기능을 중지한다.
  < snort.conf 화일 >
- preprocessor stream4_reassemble 에 "#" 을 삽입조치 후 새로 시작한다.

# preprocessor stream4_reassemble

 

 

 

 

 

 

출처http://www.it-bank.or.kr/boan/boan.htm