![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
SR08-169 Snort - Paketfragmentering kan kringå regler
Genom att manipulera TTL-värdet i fragmenterade paket kan samtliga Snort-regler kringås.
Problembeskrivning
CVE-referens: CVE-2008-1804
Snort är en populär öppen källkods IDS (Intrusion Detection System). Produkten hanterar inte fragmenterade IP-paket korrekt där TTL (Time To Live) skiljer sig åt, vilket får till följd att paketen inte kontrolleras. Om TTL-värdet skiljer sig mer än ett konfigurerbart maxvärde (5 är standard) mellan första paketet och efterföljande paket kommer Snort bortse från dessa paket.
Följande kan göras för att komma runt problemet:
- Ändra konfigurationen (snort.conf) till: preprocessor frag3_engine: ttl_limit 255
- Uppgradera till version 2.8.1.
Silvio Cesare på iDefense rapporterade svagheten.
Påverkade versioner
- Snort Project Snort 2.6 (2.4 innehåller ej felet)
- Snort Project Snort 2.8 (2.8.1 rättad)
Mer information och programrättningar
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=701
http://www.securityfocus.com/bid/29327
http://www.securitytracker.com/alerts/2008/May/1020081.html
http://www.frsirt.com/english/advisories/2008/1602
http://www.snort.org/