logo Homepage
Pages: [1]
  Imprimer  
Auteur Fil de discussion: Faille critique dans l'IDS Snort (erff...)  (Lu 2424 fois)
Invit
Invité
« le: 28 Octobre 2005 à 08:31:49 »

Le genre de news à coté de laquelle on ne peut passer tellement c'est risible de la part d'une boite comme ISS, d'autant plus risible que (pour ceux du fond qui ont loupé le chapitre sur ce qu'est un IDS) le soft en question est une sonde d'intrusion, destinée à capter et prévenir les attaques sur les réseaux (donc soit à l'intérieur d'un même segment IP sur le LAN d'une grosse entreprise, soit le cas échéant en face des firewalls haute-dispo. de sortie internet de gros hébergeurs / FAI / entreprises etc., donc la seconde clé de voûte d'un site qui est obligé à une sécurité robuste après les firewalls...).

Trouvé sur RedKod en date du 23/10/05 :

Une faille non seulement critique mais surtout particulièrement simple à exploiter vient d'être annoncée pour Snort. L'outil Libre de détection d'intrusion pourrait être utilisé par un attaquant pour prendre le contrôle du serveur qui l'héberge. Il suffit pour cela d'être en mesure d'envoyer des paquets UDP piégés sur un réseau surveillé par Snort, ce qui n'est pas très difficile. Une version corrigée est disponible.


Selon la société ISS, une faille particulièrement simple à exploiter frappe l'IDS Libre Snort. Elle toucherait les versions 2.4.0 jusqu'à 2.4.2. La bourde se situe dans une extension (un préprocesseur) destinée à identifier le trafic du cheval de Troie Back Orifice. Il suffirait à un attaquant de faire parvenir à l'IDS des paquets UDP piégés pour être en mesure d'exécuter du code sur le serveur avec les droits de Snort. Et puisque ce dernier est généralement installé avec les droits d'administration cela revient tout simplement à en prendre le contrôle.

Outre sa simplicité de mise en oeuvre, l'alerte est jugée particulièrement sérieuse car il n'est pas nécessaire d'attaquer directement le serveur de l'IDS pour exploiter cette vulnérabilité : il suffit d'être en mesure d'envoyer des paquets sur un réseau surveillé par Snort.

Une version corrigée est disponible (2.4.3) et il est très vivement conseillé de mettre à jour l'IDS, tout particulièrement s'il est destiné à surveiller un réseau ou des hôtes accessibles publiquement (ce qui est souvent le cas). Si la mise à jour immédiate n'est pas possible, il est alors conseillé de désactiver le préprocesseur Back Orifice.

Il est à noter, enfin, que Snort est embarqué dans de très nombreux boîtiers de sécurité multi-fonctions, et ces derniers devront évidemment être mis à jour eux aussi. Cela ne posera probablement aucun problème avec les éditeurs suffisamment honnêtes pour admettre l'utilisation de Snort dans leur appliance, et suffisamment professionnels pour en assurer les mises à jour. En revanche, les nombreux charlatans fournisseurs de "solutions propriétaires exclusives" qui intègrent en douce des produits Libres seront peut-être tentés d'attendre la prochaine mise à jour programmée plutôt que de fournir un correctif immédiat.

source:
- http://www.futura-sciences.com/news-snort-encore-outil-securite-ouvre-porte-pirates_7388.php

PS : un google:"snort 2.4 embeded" devrait donc donner des résultats... interressant et "persistants"
Journalisée
comtezero

Profil challenge

Classement : 2110/54254

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1001


Voir le profil WWW
« #1 le: 28 Octobre 2005 à 08:40:21 »

effectivment si il suffit de balacer quelque paquet udp sur un reseau surveillé par snorp  
ca fait une sacré faille mais bon ca doit etre sympa d'avoir un chtit serveur de fai pour soi tout seul .
Journalisée

·´¯`·­»Comtezero«­·´¯`·

http://www.masstek.org
Pages: [1]
  Imprimer  
 
Aller à: