Durch gefälschte BackOrifice-Pakete kann im populären Intrusion Detection System (IDS) Snort ein Pufferüberlauf ausgelöst werden. Ein solcher Pufferüberlauf ist in einem IDS besonders kritisch, da die Pakete gar nicht an die Maschine adressiert sein müssen, auf der der Sensor läuft.

Ein IDS belauscht den gesamten Verkehr für ein Netzwerk beziehungsweise Netzwerksegment. Dabei könnte ein Angreifer manipulierte UDP-Pakete wahllos in ein Netz einspeisen und damit erfolgreich in Sensoren-Systeme einbrechen. Diese System lesen diese Pakete automatisch mit und auswerten sie aus.

Da BackOrifice inzwischen wenig Verbreitung findet, kann man das Problem durch Auskommentieren des Präprozessor-Eintrags für BackOrifice in der Snort-Konfigurationsdatei und anschließendem Neustart des IDS vermeiden.

Die Snort-Entwickler legen zeitnah mit der Sicherheitsmeldung die neue Version 2.4.3 vor, die diesen Fehler nicht mehr enthält. Die 2.4er-Versionen von Snort vor der Ausgabe 2.4.3 sind von der Lücke betroffen.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE