发布日期：2009-09-21
更新日期：2009-09-22

受影响系统：

Snort Project Snort 2.8

不受影响系统：

Snort Project Snort 2.8.5

描述：

---

BUGTRAQ  ID: 36473

Snort是广泛部署的开放源码网络入侵检测系统（IDS）。

Snort在以Snort unified 1二进制格式进行报警和记录时存在拒绝服务漏洞。当snort.conf配置文件使用以下传统的unified 1输出配置且启用了Stream5预处理器时可能会出现这个漏洞：

  output unified: filename snort.log, limit 128

漏洞的起因是Snort在记录报文重构流数据时没有正确地设置内存缓冲区写操作的偏移，导致日志文件中会记录被破坏的统一日志头和数据，无法使用正常的解析器或警告前端解析或查看所生成的警告。

当警告中包含有报文数据信息（原始报文）时，UnifiedLogStreamCallback()函数会写入原始报文数据覆盖UnifiedLog头，用原始报文的MAC地址覆盖警告类型和大小，因此畸形报文（带有特制MAC地址的Eth/IP/TCP/Data）可以生成特制的警告，解析器无法从中获得警告信息。

<*来源：Pablo Rincón Crespo （pablo.rincon.crespo@gmail.com）
  
  链接：http://pablo-secdev.blogspot.com/2009/09/snort-28-285stable-unified1-output-bug.html
        http://secunia.com/advisories/36808/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://milw0rm.com/sploits/2009-snort-unified1_bug.tar.gz

建议：

---

厂商补丁：

Snort Project
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.snort.org/

浏览次数：2293
严重程度：0（网友投票）