发布日期：2008-05-21
更新日期：2008-05-22

受影响系统：

Snort Project Snort 2.8
Snort Project Snort 2.6

不受影响系统：

Snort Project Snort 2.8.1

描述：

---

BUGTRAQ  ID: 29327
CVE(CAN) ID: CVE-2008-1804

Snort是广泛部署的开放源码网络入侵检测系统（IDS）。

Snort没有正确地重组IP报文，远程攻击者可能利用此漏洞绕过检测。

在接收入站碎片时，Snort检查碎片的存活时间（TTL）值并与初始碎片的TTL做比较。如果二者之间的差异大于所配置的量（默认最大值为5）的话，就会丢弃碎片，也无法对其应用规则，这导致Snort无法过滤或检查有效的通讯。

<*来源：Silvio Cesare （silvio@qualys.com）
  
  链接：http://cvs.snort.org/viewcvs.cgi/snort/ChangeLog?rev=1.534.2.11
        http://secunia.com/advisories/30348/
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=701
*>

建议：

---

临时解决方法：

* 在snort.conf文件中将ttl_limit值设置为255：

  preprocessor frag3_engine: ttl_limit 255

厂商补丁：

Snort Project
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://cvs.snort.org/viewcvs.cgi/snort/src/preprocessors/spp_frag3.c.diff?r1=text&tr1=1.46.2.4&r2=text&tr2=1.46.2.5&diff_format=h

浏览次数：2450
严重程度：0（网友投票）