読者です 読者をやめる 読者になる 読者になる

まめ畑

ゆるゆると書いていきます

SnortをVersionUP

Snort Server

19日にIDSとして使用しているSnortにスタックオーバーフローの脆弱性がある
という発表があったので、今日VerionUPを行いました。
不正アクセス検知として常にパケットを監視しているので、一部機能を制限して
回避する方法は使用せずにVerionUPを行いました。
機能制限の副作用は以下の通りです。(記事抜粋)

DCE/RPCプリプロセサを無効化すると一時的に回避できるが,
IDSのDCE/RPCトラフィックに対する攻撃検知能力は低下する。

この脆弱性を利用すると遠隔コード実行が可能となります。
rootやSYSTEM権限をとられてしまうのです。
今回の脆弱性の対象になった製品は以下の通りです。

Snort 2.6.1/2.6.1.1/2.6.1.2
Snort 2.7.0 beta 1
・Sourcefire Intrusion Sensors 4.1.x/4.5.x/4.6.x(SEU 64未満のSEU)
・Sourcefire Intrusion Sensor Software for Crossbeam 4.1.x/4.5.x/
4.6.x(SEU 64未満のSEU)

位バージョンにアップグレードすることでセキュリティ・ホールは修正出来ます。


ソースからrpmパッケージをビルドしてインストールをするのはいいのですが
オプションの付け間違い(作業ミス)により設定ファイルを壊してしまい
バックアップしたやつが見つからず困りました・・・。
結局再度設定などのしなおし・・・。
rpmでアップグレードインストール(置き換え)か前のを消して再度インストールを
行えばよかったのですが、そのまま書き込んでしまいました。。。不注意です・・・。
とりあえず、前のを消して入れなおしました。最終的には。

    • forceオプションは使いたくなかったので。。。

使用している方は早めにVersionUPや対策をして下さい。


★リンク
II Pro Security