Ejecución de código a través de DCE/RPC en Snort 2.x

Se ha encontrado un fallo en Snort que puede ser aprovechado por atacantes para ejecutar código arbitrario.

Snort es uno de los IDS (Sistema de Detección de Intrusiones) más extendidos. Distribuido de forma gratuita como Open Source, Snort puede detectar un gran número de patrones de ataque conocidos basándose en el análisis de los paquetes de red según unas bases de datos de firmas, además de reglas genéricas.

El fallo se debe a un error de límites en el preprocesador DCE/RPC a la hora de resensamblar peticiones SMB Write AndX. Esto puede ser aprovechado para provocar un desbordamiento de memoria intermedia si se envía un paquete especialmente manipulado a la red y es monitorizado por Snort.

El fallo se ha confirmado en las versiones Snort 2.6.1, 2.6.1.1, 2.6.1.2 y Snort 2.7.0 beta 1. El problema también afecta a Sourcefire Intrusion Sensor versiones 4.1, 4.5 y 4.6

Se recomienda actualizar a la versión: 2.6.1.3 disponible desde:http://www.snort.org/dl/