BUGTRAQ ID: 29327
CVE(CAN) ID: CVE-2008-1804
Snort是广泛部署的开放源码网络入侵检测系统(IDS)。
Snort没有正确地重组IP报文,远程攻击者可能利用此漏洞绕过检测。
在接收入站碎片时,Snort检查碎片的存活时间(TTL)值并与初始碎片的TTL做比较。如果二者之间的差异大于所配置的量(默认最大值为5)的话,就会丢弃碎片,也无法对其应用规则,这导致Snort无法过滤或检查有效的通讯。
Snort Project Snort 2.8
Snort Project Snort 2.6
临时解决方法:
* 在snort.conf文件中将ttl_limit值设置为255:
preprocessor frag3_engine: ttl_limit 255
厂商补丁:
Snort Project
-------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=http://cvs.snort.org/viewcvs.cgi/snort/src/preprocessors/spp_frag3.c.diff?r1=text&tr1=1.46.2.4&r2=text&tr2=1.46.2.5&diff_format=h target=_blank>http://cvs.snort.org/viewcvs.cgi/snort/src/preprocessors/spp_frag3.c.diff?r1=text&tr1=1.46.2.4&r2=text&tr2=1.46.2.5&diff_format=h</a>
京公网安备 11010502034610号
暂无评论