Snort RPC预处理存在远程缓冲区溢出发布时间:2003-03-04 更新时间:2003-03-04 严重程度:高 威胁程度:远程管理员权限 错误类型:边界检查错误 利用方式:服务器模式 CVE(CAN) ID:CAN-2003-0033 受影响系统 Martin Roesch Snort 1.9.0详细描述 Snort是开放源代码免费的IDS产品。在Snort 1.8中,增加了对使用RPC碎片来逃避检测的技术,当处理碎片RPC通信时,snort没有正确检查碎片大小是否匹配预处理缓冲区的大小,恶意的RPC信息可导致触发缓冲区溢出。 虽然缓冲区溢出出现在RPC预处理代码中,但不需要建立实际的TCP连接到RPC端口映射服务来利用这个漏洞。由于snort采用杂乱模式监听,因此攻击者不需要知道探测器位置而能进行此攻击。 测试代码 商无 解决方案 临时方法: 关闭RPC预处理器(默认打开): snort.conf文件中找到如下的行: preprocessor rpc_decode 更改为 # preprocessor rpc_decode 并重新启动。 或者升级程序: http://www.snort.org/dl/snort-1.9.1.tar.gz 相关信息 参考:http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21951 |
