A Sourcefire reportou uma falha de segurança remota no Snort DCE/RPC Preprocessor. Este preprocessador tem uma falha de stack-based buffer overflow que permite um usuário malicioso executar comandos remotamente com os mesmo privilégios do binário do Snort.A Sourcefire disponibilizou a correção para esta falha.A mesma foi identificada pelo CVE-2006-5276.

Versões afetadas:

• Snort 2.6.1, 2.6.1.1, and 2.6.1.2
• Snort 2.7.0 beta 1

Maneiras de limitar o ataque:
Usuários que desativaram o DCE/RPC preprocessor não são vulneráveis. Mas, o  DCE/RPC preprocessor vem ativado por padrão.

Ações recomendadas:

• Usuários do Open-source Snort 2.6.1.x devem atualizar  para a versão 2.6.1.3 (ou superiror) imediatamente.
• Usuários do Open-source Snort 2.7 beta devem seguir as recomedações para bloquear o ataque desativando o DCE/RPC ou instalar a versão do Snort 2.7 beta 2.

 



Os usuários do Snort que não realizarem a atualização devem desativar imediatamente o DCE/RPC preprocessador removendo as diretivas no snort.conf e re-iniciando o serviço. Note que com este serviço desativado corrige o problema mas deixa o usuário sem capacidade de monitorar o tráfico em um ataque DCE/RPC. Assim que for feita a atualização o usuário deve novamente ativar este serviço.