Español | English
rss facebook linkedin Twitter

Vulnerabilidad Snort




Snort es un completo sistema de detección de intrusiones más utilizados por una serie de razones de peso, es gratuito, tiene bases de datos de patrones de ataques conocidos, además de poder incorporarle una serie de reglas personalizadas por el usuario.

Pues bien, esta completísima herramienta ha presentado una vulnerabilidad que curiosamente afecta a las últimas versiones y no a las antiguas. Las versiones afectadas son la 2.8 y 2.6, mientras que la 2.4 no sufre de la vulnerabilidad.

El problema consiste a la hora de re-ensamblar los paquetes fragmentados. Cuando estos paquetes son recibidos, snort compara los diferentes TTL's y si dicha diferencia sobrepasa un valor predeterminado son descartados y no se aplicarán ningún filtro sobre ellos. Por ello un usuario podría modificar los paquetes enviados en su campo TTL para poder saltarse las restricciones de seguridad de Snort.

Para solucionarlo, basta con configurar el fichero de configuración de Snort (snort.conf) añadiendo la línea:

preprocessor frag3_engine: ttl_limit 255

Así se aumenta el tamaño de diferencias en el TTL de los paquetes hasta su valor máximo.

En caso de que se quiera actualizar la versión, también está corregido en la última versión de Snort 2.8.1.


José María Arce Guillén
S21sec labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login