Компания Internet Security Systems (ISS), на днях сообщившая об обнаружении опаснейшей дыры в почтовом сервере Sendmail, нашла уязвимость в системе идентификации вторжений (IDS) Snort. Эта система поставляется с открытым исходным кодом и используется в качестве основы многих коммерческих продуктов класса IDS. Уязвимость содержится во всех версиях Snort, начиная с 1.8 и старше.

Уязвимость связана с работой подсистемы Snort, призванной обнаруживать атаки с использованием фрагментированных запросов RPC (удаленный вызов процедуры). При обработке таких запросов Snort использует предварительный обработчик (preprocessor), в котором имеется буфер. Однако функция, сравнивающая размер фрагментов RPC-запросов со свободным объемом буфера, работает неправильно. Поэтому, если хакер направит специальным образом сформированный RPC-запрос, последний может вызвать переполнение буфера. В результате, злоумышленник захватит управление компьютером с тем уровнем привилегий, с которым работает Snort.

В ISS отмечают, что для проведения атаки не обязательно знать точный адрес, по которому находится Snort, и необязательно устанавливать TCP-соединение со службой RPC portmapper. Хакер может направить атаку в любой сегмент сети, который прослушивает Snort. Учитывая то, что системы обнаружения вторжений устанавливаются чаще всего в критически важных сетях, ущерб от атаки по описанному сценарию может быть очень велик. Подобная атака никак не отражается в логах сервера, а для ее ликвидации необходимо установить заплатку. Более подробную информацию о дыре и ссылки на патчи можно найти в рекомендациях ISS.