各位
Snort Back Orifice preprocessor の脆弱性に関する注意喚起
Buffer overflow in Snort Back Orifice preprocessor
http://www.jpcert.or.jp/at/2005/at050009.txt
I. 概要
Snort に標準で含まれる Back Orifice preprocessor にはバッファオーバーフローの脆弱性があります。結果として、遠隔から第三者が管理者権限を取得し、任意のコードを実行する可能性があります。
II. 対象
Snort versions 2.4.0 - 2.4.2
Sourcefire Intrusion Sensors
その他に Snort または Snort コンポーネントを使用する製品が影響を受ける可能性があります。
III. 対策
各 OS のベンダや配布元などが提供する対策済みソフトウェアへのアップデート、または設定変更を行ってください。
- 対策済みソフトウェアへのアップデート
以下の URL より対策済みソフトウェアを入手して適用してください。
Snort Downloads
http://www.snort.org/dl/
- Snort Back Orifice preprocessor の停止
Snort Back Orifice preprocessor を無効にすることにより、この脆弱性
に対処することが可能です。ただし、これにより Snort センサは Back
Orifice による通信の検出や防止を行わなくなります。以下の手順により
Snort Back Orifice preprocessor を無効にすることができます。
1. snort.conf をエディタで開く
2. "preprocessor bo" の行を "#" でコメントアウトする
3. ファイルを保存する
4. snort を再起動する
IV. 参考情報
US-CERT Technical Cyber Security Alert TA05-291A
Snort Back Orifice Preprocessor Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-291A.html
US-CERT Vulnerability Note VU#175500
Buffer overflow in Snort Back Orifice preprocessor
http://www.kb.cert.org/vuls/id/175500
JP Vendor Status Notes JVNTA05-291A
Snort Back Orifice Preprocessor にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNTA05-291A/
JP Vendor Status Notes JVNVU#175500
Snort Back Orifice プリプロセッサにバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23175500/
ISS Advisory - Snort Back Orifice Parsing Remote Code Execution
http://xforce.iss.net/xforce/alerts/id/207
Sourcefire Network Security
http://www.sourcefire.com/
Snort.org - Snort Back Orifice Vulnerability
http://www.snort.org/rules/advisories/snort_update_20051018.html
Snort.gr.jp - 日本 Snort ユーザ会
http://www.snort.gr.jp/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2005-10-19 初版
2005-10-21 参考情報を追加
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2005-0009
JPCERT/CC
2005-10-19 (初版)
2005-10-21 (更新)
JPCERT/CC Alert 2005-10-19
Snort Back Orifice preprocessor の脆弱性に関する注意喚起
Buffer overflow in Snort Back Orifice preprocessor
http://www.jpcert.or.jp/at/2005/at050009.txt
I. 概要
Snort に標準で含まれる Back Orifice preprocessor にはバッファオーバーフローの脆弱性があります。結果として、遠隔から第三者が管理者権限を取得し、任意のコードを実行する可能性があります。
II. 対象
Snort versions 2.4.0 - 2.4.2
Sourcefire Intrusion Sensors
その他に Snort または Snort コンポーネントを使用する製品が影響を受ける可能性があります。
III. 対策
各 OS のベンダや配布元などが提供する対策済みソフトウェアへのアップデート、または設定変更を行ってください。
- 対策済みソフトウェアへのアップデート
以下の URL より対策済みソフトウェアを入手して適用してください。
Snort Downloads
http://www.snort.org/dl/
- Snort Back Orifice preprocessor の停止
Snort Back Orifice preprocessor を無効にすることにより、この脆弱性
に対処することが可能です。ただし、これにより Snort センサは Back
Orifice による通信の検出や防止を行わなくなります。以下の手順により
Snort Back Orifice preprocessor を無効にすることができます。
1. snort.conf をエディタで開く
2. "preprocessor bo" の行を "#" でコメントアウトする
3. ファイルを保存する
4. snort を再起動する
IV. 参考情報
US-CERT Technical Cyber Security Alert TA05-291A
Snort Back Orifice Preprocessor Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-291A.html
US-CERT Vulnerability Note VU#175500
Buffer overflow in Snort Back Orifice preprocessor
http://www.kb.cert.org/vuls/id/175500
JP Vendor Status Notes JVNTA05-291A
Snort Back Orifice Preprocessor にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNTA05-291A/
JP Vendor Status Notes JVNVU#175500
Snort Back Orifice プリプロセッサにバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23175500/
ISS Advisory - Snort Back Orifice Parsing Remote Code Execution
http://xforce.iss.net/xforce/alerts/id/207
Sourcefire Network Security
http://www.sourcefire.com/
Snort.org - Snort Back Orifice Vulnerability
http://www.snort.org/rules/advisories/snort_update_20051018.html
Snort.gr.jp - 日本 Snort ユーザ会
http://www.snort.gr.jp/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2005-10-19 初版
2005-10-21 参考情報を追加
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/