Snort ICMP远程拒绝服务攻击漏洞

漏洞信息详情

Snort ICMP远程拒绝服务攻击漏洞

• CNNVD编号：CNNVD-200203-067
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0115
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2002-01-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  martin_roesch
• 漏洞来源：
  Sinbad※ securityma…

Snort是一个轻量级的入侵检测系统(intrusion detection system)。它最初是在Linux平台下开发的，现在已经被移植到Windows平台下。Snort能够灵活地对网络流量提供强大的分析能力，能够检测到大多数的网络攻击。
某些版本的Snort设计上存在漏洞，可以使远程攻击者对Snort程序进行拒绝服务攻击。
当Snort收到一个特别构造的ICMP数据包时，Snort守护进程就会崩溃。这是由于Snort错误地定义了ICMP最小头为8字节。要让Snort恢复功能需要重启进程。很可能以前的Snort版本也受此漏洞的影响。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 给1.8.3的Snort源码打如下的补丁：

— olddecode.h Thu Jan 10 15:47:48 2002

+++ decode.h Thu Jan 10 12:15:33 2002

@@ -105,7 +105,7 @@

#define IP_HEADER_LEN 20

#define TCP_HEADER_LEN 20

#define UDP_HEADER_LEN 8

-#define ICMP_HEADER_LEN 8

+#define ICMP_HEADER_LEN 4

#define TH_FIN 0x01

#define TH_SYN 0x02

重新编译程序。
厂商补丁：
Martin Roesch
————-
目前厂商已经提供了补丁并且在最新版本的软件中修补了这个问题，我们建议使用此软件的用户到厂商的主页获取最新版本：

http://www.snort.org” target=”_blank”>
http://www.snort.org

来源: XF
名称: snort-icmp-dos(7874)
链接:http://www.iss.net/security_center/static/7874.php

来源: BUGTRAQ
名称: 20020110 Re: Snort core dumped
链接:http://online.securityfocus.com/cgi-bin/archive.pl?id=1&start=2002-03-08&end=2002-03-14&mid=249623&threads=1

来源: BUGTRAQ
名称: 20020110 Snort core dumped
链接:http://online.securityfocus.com/archive/1/249340

来源: BID
名称: 3849
链接:http://www.securityfocus.com/bid/3849

来源: OSVDB
名称: 2022
链接:http://www.osvdb.org/2022