Fallo en seguridad en SNORT

Salto de restricciones a través de valores TTL en Snort

 
Se ha descubierto un fallo de seguridad en Snort que podría permitir a 
un atacante remoto saltar restricciones de seguridad. 
 
Snort es uno de los IDS (Sistema de Detección de Intrusiones) más 
extendidos. Distribuido de forma gratuita como Open Source, Snort puede 
detectar muchos de los patrones de ataque conocidos basándose en el 
análisis de los paquetes de red según unas bases de datos de firmas, 
además de reglas genéricas. Habitualmente la función de estos detectores 
es la de alertar sobre actividades sospechosas a través de cualquier 
mecanismo, aunque en ocasiones puede usarse para lanzar medidas 
destinadas a mitigar de forma automática el posible problema descubierto 
por el sensor. 
 
El fallo reside en el reensamblado de paquetes IP fragmentados. Cuando 
Snort recibe paquetes fragmentados compara sus valores TTL. Snort tiene 
un valor predefinido para la diferencia de valores TTL entre paquetes, 
si el valor de la diferencia entre el primero de ellos y el resto es 
mayor que este valor los descartará y no aplicará ningún filtro o examen 
sobre ellos. Un atacante remoto podría aprovechar este fallo para saltar 
restricciones de seguridad modificando los valores TTL de los paquetes 
IP. 
 
El problema se ha confirmado en Snort 2.8 y 2.6. Snort 2.4 no es 
vulnerable. Como contramedida en el archivo de configuración snort.conf, 
se puede establecer el valor ttl_limit a 255 con la siguiente línea: 
preprocessor frag3_engine: ttl_limit 255 
 
Además el fallo queda corregido en la versión 2.8.1 disponible en el 
repositorio: 
cvs.snort.org

mas informacion en:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=701