米Sourcefireは現地時間5月31日,オープンソースのIDS(侵入検知システム)「Snort」に不具合が見つかったことを明らかにした。特定のHTTPトラフィックを適切にチェックしない場合がある。同社では6月5日に修正パッチを公開する予定。
今回の不具合は,Snortの「http_inspectプリプロセッサ」に存在する。不具合自体は第三者によって発見され,セキュリティ組織の米SANS Instituteなども伝えていた。
それによると,HTTPリクエストで送られるURLの最後にキャリッジ・リターンが含まれると,URLベースのシグネチャ(uricontentルール)を使ったチェックをバイパスされてしまうという。つまり,WebサーバーやWebアプリケーションのセキュリティ・ホールを突くようなHTTPリクエストを送信されても,Snortで検出できない可能性がある。セキュリティ・ホールの発見者は,標準的に使われているルールセット(シグネチャ)の多くが,この不具合の影響を受けるとしている。
Sourcefireでは,今回の不具合を修正するパッチ(fix)を作成済みで,現在検証中であるとしている。LinuxおよびWindows用Snort 2.4系列/2.6系列の修正パッチは,6月5日にリリース予定。
なおSANS Instituteでは,この不具合を悪用するようなトラフィックは確認していないという。
◎参考資料
◆Possible Evasion in http_inspect(snort.org)
◆Snort bypass vulnerability(SANS Institute)
◆Snort Bypass Vulnerability(Demarc Security)
