-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 25/05/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Salto de restricciones a través de valores TTL en Snort
-------------------------------------------------------
Se ha descubierto un fallo de seguridad en Snort que podría permitir a
un atacante remoto saltar restricciones de seguridad.
Snort es uno de los IDS (Sistema de Detección de Intrusiones) más
extendidos. Distribuido de forma gratuita como Open Source, Snort puede detectar muchos de los patrones de ataque conocidos basándose en el
análisis de los paquetes de red según unas bases de datos de firmas,
además de reglas genéricas. Habitualmente la función de estos detectores
es la de alertar sobre actividades sospechosas a través de cualquier
mecanismo, aunque en ocasiones puede usarse para lanzar medidas
destinadas a mitigar de forma automática el posible problema descubierto
por el sensor.
El fallo reside en el reensamblado de paquetes IP fragmentados. Cuando
Snort recibe paquetes fragmentados compara sus valores TTL. Snort tiene
un valor predefinido para la diferencia de valores TTL entre paquetes,
si el valor de la diferencia entre el primero de ellos y el resto es
mayor que este valor los descartará y no aplicará ningún filtro o examen
sobre ellos. Un atacante remoto podría aprovechar este fallo para saltar restricciones de seguridad modificando los valores TTL de los paquetes
IP.
El problema se ha confirmado en Snort 2.8 y 2.6. Snort 2.4 no es
vulnerable. Como contramedida en el archivo de configuración snort.conf,
se puede establecer el valor ttl_limit a 255 con la siguiente línea: preprocessor frag3_engine: ttl_limit 255
Además el fallo queda corregido en la versión 2.8.1 disponible en el repositorio:
cvs.snort.org
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3501/comentar
Más información:
Multiple Vendor Snort IP Fragment TTL Evasion Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=701
Laboratorio Hispasec
laboratorio @hispasec.com
Tal día como hoy:
-----------------
25/05/2007: El botnet tradicional ha muerto... ¡viva el botnet P2P!
http://www.hispasec.com/unaaldia/3135
25/05/2006: Elevación de privilegios en Cisco VPN Client para Windows
http://www.hispasec.com/unaaldia/2770
25/05/2005: Actualización crítica para antivirus de Computer Associates
http://www.hispasec.com/unaaldia/2405
25/05/2004: Fallo en un parche para Mac OS X
http://www.hispasec.com/unaaldia/2039
25/05/2003: II Reto Boinas Negras
http://www.hispasec.com/unaaldia/1673
25/05/2002: Problema de seguridad en Excel XP
http://www.hispasec.com/unaaldia/1308
25/05/2001: Vulnerabilidad en switches Cisco Catalyst 2900XL
http://www.hispasec.com/unaaldia/943
25/05/2000: Vulnerabilidades en KNAPSTER y GNAPSTER
http://www.hispasec.com/unaaldia/576
25/05/1999: Correo electrónico cifrado vía Web
http://www.hispasec.com/unaaldia/210
-------------------------------------------------------------------
Claves PGP en
http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:
unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:
unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec
http://www.hispasec.com/copyright
-------------------------------------------------------------------
--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet
telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)