关键信息 标题 Snort TCP Stream Reassembly Integer Overflow Vulnerability 发布日期 Date Published: 2003-04-15 漏洞类型 Class: Failure to handle exceptional conditions 可利用性 Remotely Exploitable: Yes Locally Exploitable: No 漏洞描述 Snort是一个开源网络入侵检测系统,漏洞存在于stream4预处理器模块中。该模块在将TCP流量传递给分析模块之前进行重组。序列号计算导致32位整数变量溢出,进而导致可利用的堆溢出。 成功利用此漏洞可能导致执行任意命令、拒绝服务攻击以及可能的IDS绕过技术。 影响版本 Snort 2.0 versions prior to RC1 Snort 1.9.x Snort 1.8.x 使用Snort技术的IDS和其他安全设备 解决方案/厂商信息/变通方法 Snort 2.0已发布,并包含修复此漏洞的更新。 可从此链接下载源代码包。 二进制文件可从此链接下载。 变通方法是禁用TCP流重组模块,通过注释掉配置文件中的 行并发送SIGHUP信号给运行中的Snort进程。 发现者 Bruce Leidl Juan Pablo Martinez Kuhn Alejandro David Weil 他们于2003年3月3日至7日的Bugweek 2003期间发现了此漏洞。 技术细节与概念代码 详细介绍了如何使用hping工具创建特制数据包来利用此漏洞,以及相关代码逻辑。