Snort Back Orifice预处理器缓冲溢出漏洞
作者:
文章来源:CNCERT/CC

安全漏洞:CN-VA05-66
发布日期：2005-10-19
漏洞类型：缓冲溢出
漏洞评估：中危

受影响版本：

Snort versions 2.4.0 to 2.4.2

漏洞描述：

　　Snort是一个被广泛应用的，开源的入侵检测系统。Snort和它的组件也被用于其它入侵检测系统产品。Snort预处理器可以使用户编写模块化的插件，扩展snort的功能。预处理器在调用检测引擎之前，在数据包被解码之后运行。

　　BO预处理检测Back Orifice。Back Orifice是一种针对Windows系统的远程控制特洛伊木马。当输入针对特洛伊木马的命令时，预处理器将对Back Orifice的UDP流量进行检测。由于没有正确地限制从缓冲区所读入数据包的大小，远程攻击者通过提交经过特殊伪造的UDP数据包给被Snort监控下的主机，从而获得系统管理员权限。

漏洞危害：

　　Snort Back Orifice预处理器存在的缓冲区溢出漏洞可以导致远程攻击者在有漏洞的系统上执行恶意代码而获得系统管理员权限。

解决方案：

　　应用安全升级到snort最新版本2.4.3或屏蔽Back Orifice预出理器。