セキュリティ・ベンダーである米Internet Security Systems(ISS)は米国時間1月28日,侵入検知システム(IDS)ソフト「Snort」のセキュリティ・ホールを警告した。特定のパケットを送信することで,Snortを停止させること(いわゆる,DoS 攻撃)が可能となる。影響を受けるのは,すべてのプラットフォーム(OS)用のバージョン 1.8.3 以前。バージョンアップやパッチの適用で回避できる。

 Snort は,オープンソースの IDS ソフトであり,ネットワークのトラフィックを監視するネットワーク型 IDS である。ネットワークを流れるパケットをキャプチャし,不正侵入のパターンと一致した場合に,管理者などに警告を発する。

 今回のセキュリティ・ホールは,Snort の ICMP(Internet Control Message Protocol)プロトコルの取り扱いの部分に見つかった。5バイト以下のデータを含む,「ICMP Echo」および「ICMP Echo-Reply」パケットを適切に取り扱うことができない。これらのパケットは,コンピュータの接続性などを調べる「ping」コマンドが使用するものであるため,pingコマンドでセキュリティ・ホールを突くことができるという。また,その攻撃手法も既に公開されている。Snort管理者は早急に対策を施す必要がある。

 Snort には,強制的に終了させられた後に,自動的に再起動する機能はない。そのため ISS のレポートでは,別のソフトやシェル・スクリプトなどを使って,再起動できる仕組みを用意しておくことも勧めている。

【2月2日追記】米国時間1月29日,SnortのWebサイトでは,今回のセキュリティ・ホールの影響はほとんどないとする情報が公開された。理由は,(1)攻撃を成功させるような「ICMP Echo」および「ICMP Echo-Reply」パケットは,通常は発生せず,(2)攻撃を受ける恐れがあるのは,コマンド・ラインから「-d」オプションで実行して,ASCIIモードでログを取っている場合だけであるからだ。これはデフォルトのモードではない。

◎参考文献
Remote Denial of Service Vulnerability in Snort IDS(米ISS)
Snort ICMP DoS is no big deal

(勝村 幸博=IT Pro編集)