Das populäre Intrusion Detection System (IDS) Snort kommt durch gefälschte BackOrifice-Pakete aus dem Tritt -- ein Pufferüberlauf kann stattfinden. Ein Pufferüberlauf in einem IDS ist besonders heimtückisch, da die Pakete gar nicht an die Maschine adressiert sein müssen, auf der der Sensor läuft. Ein IDS belauscht den gesamten Verkehr für ein Netzwerk beziehungsweise Netzwerksegment. So könnte ein Angreifer einzelne, manipulierte UDP-Pakete wahllos in ein Netz senden und damit erfolgreich in Sensoren-Systeme einbrechen, da diese die Pakete automatisch mitlesen und auswerten.
Da BackOrifice inzwischen wenig verbreitet ist und im Vergleich zu aktuellen Trojanern, Hintertüren und Würmern kaum noch eine Gefahr darstellt, kann man das Problem durch Auskommentieren des Präprozessor-Eintrags für BackOrifice in der Snort-Konfigurationsdatei und anschließendem Neustart des IDS vermeiden. Die Snort-Entwickler legen zeitgleich mit der Sicherheitsmeldung auch die neue Version 2.4.3 vor, die den Fehler nicht mehr enthält. Von der Lücke betroffen sind die 2.4er-Versionen von Snort vor der Ausgabe 2.4.3.
Siehe dazu auch:
* Security Advisory der Snort-Entwickler
* Download der aktualisierten Snort-Pakete
Quelle und Links :
http://www.heise.de/newsticker/meldung/65071
