米IBMの100%子会社である米Internet Security Systemsは米国時間2月19日,オープンソースの侵入検知システム(IDS)「Snort IDS」およびIDS/侵入防止システム(IPS)「Sourcefire Intrusion Sensor」にスタック・バッファ・オーバーフローを起こすセキュリティ・ホールが存在すると発表した。このセキュリティ・ホールを悪用すると,遠隔コード実行が可能となる。
問題のバッファ・オーバーフローはDCE/RPCの実行で発生し,ユーザーに操作を要求することなくSnort/Sourcefireの特権レベルで遠隔地からコードを実行できる。この特権レベルにはrootやSYSTEMといった高い権限を割り当てることが一般的で,情報漏えいなどの被害発生が考えられる。
セキュリティ・ホールの存在するバージョンは以下の通り。
・Snort 2.6.1/2.6.1.1/2.6.1.2
・Snort 2.7.0 beta 1
・Sourcefire Intrusion Sensors 4.1.x/4.5.x/4.6.x(SEU 64未満のSEU)
・Sourcefire Intrusion Sensor Software for Crossbeam 4.1.x/4.5.x/4.6.x(SEU 64未満のSEU)
上位バージョンにアップグレードすることでセキュリティ・ホールは修正できる。アップグレードできない場合は,DCE/RPCプリプロセサを無効化すると一時的に回避できるが,IDSのDCE/RPCトラフィックに対する攻撃検知能力は低下する。
[発表資料へ]
