L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Snort

annonce de vulnérabilité CVE-2016-1417

Snort : exécution de code de DLL via tcapi.dll

Synthèse de la vulnérabilité

Un attaquant peut créer une DLL tcapi.dll malveillante, puis la placer dans le répertoire de travail de Snort, afin d'exécuter du code.
Produits concernés : Snort.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur intranet.
Date création : 03/10/2016.
Références : CVE-2016-1417, VIGILANCE-VUL-20752.

Description de la vulnérabilité

Le produit Snort utilise des bibliothèques partagées (DLL) externes.

Cependant, si le répertoire de travail contient une bibliothèque tcapi.dll malveillante, elle est chargée automatiquement.

Un attaquant peut donc créer une DLL tcapi.dll malveillante, puis la placer dans le répertoire de travail de Snort, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 12343

Snort : buffer overflow de Sourcefire VRT Rules

Synthèse de la vulnérabilité

Lorsque l'administrateur a installé les règles Sourcefire VRT Rules et activé la règle "3:20275", un attaquant peut employer la fonction DCE RPC EnumeratePrintShares, afin de provoquer un débordement dans Snort, qui peut conduire à l'exécution de code.
Produits concernés : Snort.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : client intranet.
Date création : 21/01/2013.
Références : BID-57476, CERTA-2013-AVI-056, VIGILANCE-VUL-12343.

Description de la vulnérabilité

La règle "3:20275" de Sourcefire VRT Rules détecte la vulnérabilité CVE-2009-0228 (VIGILANCE-VUL-8778). Cette vulnérabilité a pour origine un débordement dans EnumeratePrintShares, qui liste les partages d'impression. Cette règle n'est pas activée par défaut.

Cette règle est implémentée dans la fonction rule20275eval() du fichier so_rules/src/netbios_kb961501-smb-printss-reponse.c. Cette fonction vérifie que le nombre d'entrées dans le message EnumeratePrintShares ne dépasse pas 20, cependant elle utilise un tableau de 10 entrées pour les stocker. Un attaquant peut donc employer un message contenant entre 11 et 20 entrées, afin de provoquer un buffer overflow.

Lorsque l'administrateur a installé les règles Sourcefire VRT Rules et activé la règle "3:20275", un attaquant peut donc employer la fonction DCE RPC EnumeratePrintShares, afin de provoquer un débordement dans Snort, qui peut conduire à l'exécution de code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2010-0102

IDS, IPS : Advanced Evasion Techniques

Synthèse de la vulnérabilité

Vingt trois cas de techniques standards de variation de paquets ne sont pas détectées par la majorité des IDS/IPS.
Produits concernés : FW-1, CheckPoint Security Gateway, VPN-1, Cisco IPS, TippingPoint IPS, McAfee NTBA, Snort.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 23.
Date création : 17/12/2010.
Références : CVE-2010-0102, SBP-2010-31, SBP-2010-32, SBP-2010-33, SBP-2010-34, SBP-2010-35, VIGILANCE-VUL-10227.

Description de la vulnérabilité

Les IDS/IPS capturent les trames réseau, et analysent leurs contenus, afin de détecter des tentatives d'intrusion. Les attaquants font légèrement varier les paquets réseau, afin de contourner les IDS/IPS. Vingt trois cas de techniques standards de variation de paquets ne sont pas détectées par la majorité des IDS/IPS. Ces 23 cas concernent les protocoles IPv4, TCP, SMB et MSRPC. Ils sont basés sur des méthodes connues depuis 12 ans. Stonesoft a nommé ces cas "Advanced Evasion Techniques". Ils ont été annoncés dans VIGILANCE-ACTU-2612.

Un attaquant peut envoyer un paquet SMB Write avec une valeur "writemode" spéciale, suivi d'autres paquets SMB Write qui seront ignorés. [grav:2/4]

Un attaquant peut scinder les données de SMB Write en paquets ne contenant qu'un seul octet, encapsulés dans de petits fragments IPv4/TCP. [grav:2/4]

Un attaquant peut dupliquer chaque paquet IPv4, en lui ajoutant des options IPv4. [grav:2/4]

Un attaquant peut fragmenter les requêtes MSRPC en paquets contenant au plus 25 octets de données. [grav:2/4]

Un attaquant peut envoyer des messages MSRPC où tous les entiers sont encodés en Big Endian au lieu de Little Endian. [grav:2/4]

Un attaquant peut modifier les drapeaux NDR des messages MSRPC. [grav:2/4]

Un attaquant peut créer des messages MSRPC fragmentés dans des requêtes SMB fragmentées. [grav:2/4]

Un attaquant peut fragmenter des messages SMB en blocs contenant un octet de données. [grav:2/4]

Un attaquant peut fragmenter des messages SMB en blocs contenant au plus 32 octets de données. [grav:2/4]

Un attaquant peut employer un nom de fichier SMB commençant par "inutile\..\". [grav:2/4]

Un attaquant peut employer des segments TCP se chevauchant. [grav:2/4]

Un attaquant peut envoyer des segments TCP dans le désordre. [grav:2/4]

Un attaquant peut fragmenter des données TCP en blocs d'un octet. [grav:2/4]

Un attaquant peut utiliser une deuxième session TCP utilisant les mêmes numéros de port. [grav:2/4]

Un attaquant peut utiliser une session TCP, donc le premier octet est envoyé avec le drapeau urgent. [grav:2/4]

Un attaquant peut employer un message NetBIOS, dont les données ressemblent à une requête HTTP GET. [grav:2/4]

Un attaquant peut injecter 5 SMB Write dans une session SMB Write. [grav:2/4]

Un attaquant peut fragmenter une requête MSRPC dans des paquets TCP envoyés dans l'ordre inverse. [grav:2/4]

Un attaquant peut fragmenter une requête MSRPC dans des paquets TCP envoyés dans un ordre aléatoire. [grav:2/4]

Un attaquant peut fragmenter une requête MSRPC dans des paquet TCP envoyés avec un numéro de séquence initial proche de 0xFFFFFFFF. [grav:2/4]

Un attaquant peut envoyer un paquet NetBIOS vide, avant chaque message NetBIOS. [grav:2/4]

Un attaquant peut envoyer un paquet NetBIOS de type invalide, avant chaque message NetBIOS. [grav:2/4]

Un attaquant peut employer une variation inconnue. [grav:2/4]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2009-3641

Snort : dénis de service d'IPv6

Synthèse de la vulnérabilité

Lorsque IPv6 est activé, un attaquant peut envoyer des paquets malformés afin de stopper Snort.
Produits concernés : Fedora, Snort.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 23/10/2009.
Références : BID-36795, CVE-2009-3641, FEDORA-2009-10751, FEDORA-2009-10783, VIGILANCE-VUL-9117.

Description de la vulnérabilité

L'IDS Snort peut être compilé avec le support d'IPv6 (--enable-ipv6), et être exécuté en mode verbeux (-v). Cependant, deux vulnérabilités impactent cette configuration.

Un attaquant peut employer un paquet IPv6/TCP contenant un entête TCP tronqué avant le champ DataOffset, ce qui provoque une lecture à une adresse mémoire invalide. [grav:2/4]

Un attaquant peut employer un paquet IPv6/ICMP contenant des données ICMPv6 Node Information Query NOOP invalides, ce qui provoque une lecture à une adresse mémoire invalide. [grav:2/4]

Lorsque IPv6 est activé, un attaquant peut donc envoyer des paquets malformés afin de stopper Snort.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 9036

Snort : corruption des logs unifiés

Synthèse de la vulnérabilité

Lorsque la journalisation unifiée est activée, un attaquant peut envoyer des paquets spéciaux afin de corrompre les journaux de log de Snort.
Produits concernés : Snort.
Gravité : 2/4.
Conséquences : camouflage.
Provenance : client internet.
Date création : 22/09/2009.
Références : BID-36473, VIGILANCE-VUL-9036.

Description de la vulnérabilité

L'IDS Snort peut journaliser les évènements selon plusieurs méthodes : syslog, database, unified, etc. La méthode "unified" (activée dans le fichier de configuration snort.conf avec "output ...unified: filename ...") sauve les journaux dans un fichier binaire.

La fonction UnifiedLogStreamCallback() du fichier output-plugins/spo_unified.c construit l'entrée à journaliser. Cependant, lorsque les données IP sont fragmentées, l'offset des fragments n'est pas utilisé, et chaque fragment écrase donc le début de l'enregistrement.

Lorsque la journalisation unifiée est activée, un attaquant peut donc envoyer des paquets fragmentés afin de corrompre les journaux de log de Snort.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2008-1804

Snort : contournement par fragmentation

Synthèse de la vulnérabilité

Un attaquant peut fragmenter ses paquets IP afin de contourner toutes les règles Snort.
Produits concernés : Fedora, Mandriva Linux, Snort.
Gravité : 3/4.
Conséquences : transit de données, camouflage.
Provenance : client internet.
Date création : 22/05/2008.
Références : BID-29327, CERTA-2008-AVI-261, CVE-2008-1804, FEDORA-2008-4986, FEDORA-2008-5001, FEDORA-2008-5045, MDVSA-2009:259, MDVSA-2009:259-1, VIGILANCE-VUL-7846.

Description de la vulnérabilité

Le préprocesseur frag3_engine de Snort réassemble les fragments IP.

L'option ttl_limit de ce préprocesseur définit la différence maximale admise entre les TTL des fragments à réassembler. Par défaut, ttl_limit vaut 5, donc les fragments suivants sont acceptés :
 - premier paquet IP avec un TTL de 40
 - deuxième paquet IP avec un TTL de 41 (il peut légitimement avoir emprunté une route différente)
Les fragments suivants sont rejetés, sans journalisation :
 - premier paquet IP avec un TTL de 40
 - deuxième paquet IP avec un TTL de 46
Cette option est inutile. Elle provient d'une erreur de conception de Snort 2.6 et 2.8.

Si l'attaquant fragmente ses paquets IP avec des TTL différents, il contourne ainsi toutes les règles Snort.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2005-4872 CVE-2006-7225 CVE-2006-7226

PCRE : débordement d'entiers des expressions régulières

Synthèse de la vulnérabilité

Lorsque l'attaquant peut modifier l'expression régulière employée par un programme, il peut corrompre sa mémoire afin par exemple d'exécuter du code.
Produits concernés : Debian, Mandriva Corporate, Mandriva NF, NLD, OES, openSUSE, RHEL, Snort, SLES, Unix (plateforme) ~ non exhaustif, ESX.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 12/11/2007.
Date révision : 29/11/2007.
Références : BID-26462, BID-26725, BID-26727, CERTA-2007-AVI-513, CERTA-2008-AVI-103, CERTA-2008-AVI-207, CERTA-2008-AVI-239, CESA-2007-006, CVE-2005-4872, CVE-2006-7224-REJECT, CVE-2006-7225, CVE-2006-7226, CVE-2006-7227, CVE-2006-7228, DSA-1570-1, MDVSA-2008:012, RHSA-2007:1052-01, RHSA-2007:1052-02, RHSA-2007:1059-01, RHSA-2007:1063-01, RHSA-2007:1065-01, RHSA-2007:1068-01, RHSA-2007:1076-02, RHSA-2007:1077-01, RHSA-2008:0546-01, SUSE-SA:2007:062, SUSE-SA:2008:004, VIGILANCE-VUL-7332, VMSA-2008-0003, VMSA-2008-0003.1, VMSA-2008-0007, VMSA-2008-0007.1, VMSA-2008-0007.2.

Description de la vulnérabilité

La bibliothèque PCRE implémente des expressions régulières compatibles Perl (par opposition à POSIX). Plusieurs vulnérabilités affectent cette bibliothèque.

Un attaquant peut provoquer un débordement d'entier dans pcre_compile(), via "name_count" et "max_name_size". [grav:1/4; CERTA-2007-AVI-513, CVE-2006-7227]

Une séquence comme "(?P<0>)(?P<1>)" permet de mener un déni de service. [grav:1/4; CVE-2005-4872]

Un attaquant peut provoquer plusieurs débordements d'entier dans pcre_compile(), via "max", "min" et "duplength". [grav:1/4; CERTA-2008-AVI-103, CERTA-2008-AVI-207, CVE-2006-7228]

Une séquence spéciale comme "[[,abc,]]" provoque un déni de service lors de sa compilation. [grav:1/4; BID-26725, CVE-2006-7225]

Une séquence illicite comme "(xxx(?P>B)){3}" peut provoquer une corruption de mémoire. [grav:1/4; BID-26727, CVE-2006-7226]

Lorsque l'attaquant peut modifier l'expression régulière employée par un programme, il peut ainsi corrompre sa mémoire afin par exemple d'exécuter du code. Dans certains cas, il peut aussi lire le contenu de la mémoire ou mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2006-7230

PCRE : débordement des expressions régulières

Synthèse de la vulnérabilité

Lorsque l'attaquant peut modifier l'expression régulière employée par un programme, il peut corrompre sa mémoire afin par exemple d'exécuter du code.
Produits concernés : Debian, NLD, OES, openSUSE, RHEL, Snort, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Date création : 19/11/2007.
Références : BID-26550, CERTA-2008-AVI-239, CVE-2006-7230, DSA-1570-1, RHSA-2007:1059-01, RHSA-2007:1068-01, SUSE-SA:2007:062, SUSE-SA:2008:004, VIGILANCE-VUL-7354.

Description de la vulnérabilité

La bibliothèque PCRE implémente des expressions régulières compatibles Perl (par opposition à POSIX).

Une expression régulière peut indiquer un modifieur, comme 'i' (non respect de la casse) ou 'x' (permet les commentaires). Par exemple :
  /bonjour/i

Le modifieur peut être changé en cours d'expression. Par exemple :
  /bon(?i)jour(-i)/

Cependant PCRE calcule incorrectement taille mémoire nécessaire aux changements 'i' et 'x', ce qui conduit à un débordement.

Lorsque l'attaquant peut modifier l'expression régulière employée par un programme, il peut ainsi corrompre sa mémoire afin d'exécuter du code ou de créer un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2007-1659 CVE-2007-1660 CVE-2007-1661

Perl, PCRE : vulnérabilités des expressions régulières

Synthèse de la vulnérabilité

Lorsque l'attaquant peut modifier l'expression régulière employée par un programme, il peut corrompre sa mémoire afin par exemple d'exécuter du code.
Produits concernés : Debian, Fedora, Tru64 UNIX, AIX, Mandriva Corporate, Mandriva Linux, Mandriva NF, NLD, OES, openSUSE, Solaris, Perl Core, PHP, RHEL, Snort, SLES, Unix (plateforme) ~ non exhaustif, ESX.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 05/11/2007.
Date révision : 06/11/2007.
Références : 231524, 315871, 315881, 323571, 6629836, BID-26346, BID-26350, c01362465, CERTA-2007-AVI-481, CERTA-2008-AVI-053, CERTA-2008-AVI-239, CVE-2007-1659, CVE-2007-1660, CVE-2007-1661, CVE-2007-1662, CVE-2007-4766, CVE-2007-4767, CVE-2007-4768, CVE-2007-5116, DSA-1399-1, DSA-1400-1, DSA-1570-1, FEDORA-2007-2944, FEDORA-2007-3255, FEDORA-2007-748, HPSBTU02311, IZ10220, IZ10244, IZ10245, MDKSA-2007:207, MDKSA-2007:211, MDKSA-2007:212, MDKSA-2007:213, RHSA-2007:0966-01, RHSA-2007:0967-01, RHSA-2007:0968-01, RHSA-2007:1011-01, RHSA-2007:1063-01, RHSA-2007:1065-01, RHSA-2007:1068-01, RHSA-2007:1126-01, RHSA-2008:0546-01, RHSA-2010:0602-02, SSRT080001, SUSE-SA:2007:062, SUSE-SA:2008:004, SUSE-SR:2007:024, SUSE-SR:2007:025, VIGILANCE-VUL-7311, VMSA-2008-0001, VMSA-2008-0001.1, VMSA-2008-0007, VMSA-2008-0007.1, VMSA-2008-0007.2.

Description de la vulnérabilité

La bibliothèque PCRE implémente des expressions régulières compatibles Perl (par opposition à POSIX). Plusieurs vulnérabilités affectent ce type d'expression régulière.

Une expression régulière Perl peut contenir "\L...\E" pour convertir en minuscules, "\U...\E" pour convertir en majuscules et "\Q...\E" pour désactiver les métas caractères. Cependant, le cas "\Q...\E" n'est pas correctement géré, ce qui désynchronise le moteur d'expression régulières et corrompt la mémoire. [grav:2/4; 315871, BID-26346, CVE-2007-1659]

Les crochets "[...]" définissent des classes de caractères. Dans certains cas, la zone mémoire allouée pour les stocker est trop courte, ce qui corrompt la mémoire. [grav:2/4; 315881, BID-26346, CVE-2007-1660]

La séquence "\X" cherche des caractères Unicode étendus. La séquence "\pL" cherche les minuscules. La séquence "\d" cherche des entiers. La combinaison de ces séquences en non UTF-8 permet de lire à une adresse mémoire interdite. [grav:2/4; BID-26346, CVE-2007-1661]

Plusieurs fonctions peuvent lire après la fin de la chaîne à la recherche de parenthèses ou d'accolades. [grav:2/4; BID-26346, CVE-2007-1662]

Plusieurs débordements d'entiers peuvent se produire lors de la gestion des séquences d'échappement. [grav:2/4; BID-26346, CVE-2007-4766]

La séquence "\PX" ou "\P{X}" cherche la propriété X. Plusieurs boucles infinies et débordements se produisent dans la gestion de ces séquences. [grav:2/4; BID-26346, CVE-2007-4767]

Lorsque la chaîne contient une séquence Unicode unique, une optimisation est incorrectement effectuée et conduit à un débordement. [grav:2/4; BID-26346, CERTA-2008-AVI-053, CVE-2007-4768]

Le compilateur d'expressions régulières Perl utilise deux passes : la première pour calculer la taille nécessaire et la seconde pour stocker les données. Cependant, en utilisant des caractères Unicode, un attaquant peut stocker des données trop longues. [grav:2/4; 323571, BID-26350, CERTA-2007-AVI-481, CVE-2007-5116]

Lorsque l'attaquant peut modifier l'expression régulière employée par un programme, il peut ainsi corrompre sa mémoire afin par exemple d'exécuter du code. Dans certains cas, il peut aussi lire le contenu de la mémoire ou mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2007-2688 CVE-2007-2689 CVE-2007-2734

IDS : contournement de l'IDS avec les demi ou pleine chasse

Synthèse de la vulnérabilité

Un attaquant peut employer des caractères Unicode demi ou pleine chasse afin de contourner plusieurs IDS.
Produits concernés : VPN-1, ASA, IOS par Cisco, Cisco IPS, Cisco Router, TippingPoint IPS, Snort, StoneGate IPS.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 15/05/2007.
Dates révisions : 16/05/2007, 22/05/2007.
Références : 3COM-07-001, 91767, BID-23980, cisco-sr-20070514-unicode, CSCsi58602, CSCsi67763, CSCsi91487, CVE-2007-2688, CVE-2007-2689, CVE-2007-2734, CVE-2007-5793, GS07-01, VIGILANCE-VUL-6815, VU#739224.

Description de la vulnérabilité

Les tables de caractères Unicode comportent des caractères dont l'apparence est similaire. Par exemple :
 - le caractère 'à' peut être encodé U+00E0, ou bien 'a' suivi du diacritique combinant '`' (U+0061-U+0300)
 - la chaîne 'ff' peut être encodée U+0066-U+0066, ou bien à l'aide de la ligature U+FB00
 - le caractère 'a' peut être encodé U+0061, ou bien à l'aide du caractère pleine-chasse U+FF41 (les caractères pleine-chasse ont une largeur fixe, comme pour les machines à écrire ; les caractères pleine-chasse sont principalement utilisés comme alias des caractères ASCII-127 ; les caractères demi-chasse sont deux fois moins larges et sont principalement utilisés pour les caractères asiatiques simplifiés)

Certains logiciels convertissent automatiquement les caractères ayant une apparence similaire. Par exemple, en PHP et ASP.NET, les caractères pleine-chasse sont convertis en caractères ASCII-127.

Certains IDS/IPS ne gèrent pas correctement les caractères demi-chasse (half-width) ou pleine-chasse (full-width).

Un attaquant peut donc employer ces caractères pour contourner l'IDS.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Snort :