Snort-Loch reißt das Netzwerk auf

Snort, ein auf Open Source basierendes System für Intrusion Detection, hat eine Lücke.

Snort, ein auf Open Source basierendes System für Intrusion Detection, hat eine Lücke. Diese kann nicht nur die Funktion des Security-Tools beeinträchtigen, sie öffnet Angreifern sogar das Netzwerk. Sourcefire, die Firma, die Snort pflegt, hat einen Patch dafür hergestellt.

Betroffen sind die Versionen 2.4.0 und höher. Die Lücke erlaubt einen Buffer Overflow, der einem Angreifer letztendlich die Kontrolle über die angegriffenen Systeme gibt. Voraussetzung für dieses Szenario ist, dass der Snort Sensor eingeschaltet ist und der ‘Back Orifice Preprocessor’ läuft. Dies ist eine Funktion innerhalb von Snort, die Aktivitäten registriert, die den bösartigen Backdoor-Code ‘Back Orifice’ betreffen oder nutzen.

Sourcefire empfiehlt das Upgrade auf die Version Snort 2.4.3 und hilft mit Patches weiter. Auf der Sourcefire-Homepage gibt es weitere Hilfen und Support-Ansprechpartner. Die Firma, die kürzlich von Check Point übernommen wurde, ist stolz darauf, dass sie einerseits die Lücke schnell geschlossen hat, andererseits, dass es sich erst um die zweite größere Lücke innerhalb von zwei Jahren handele. Zwei zuviel, murren Anwender in den USA.