发布日期：2002-01-10
更新日期：2002-01-16

受影响系统：

Martin Roesch Snort 1.8.3

描述：

---

BUGTRAQ  ID: 3849
CVE(CAN) ID: CVE-2002-0115

Snort是一个轻量级的入侵检测系统(intrusion detection system)。它最初是在Linux平台下开发的，现在已经被移植到Windows平台下。Snort能够灵活地对网络流量提供强大的分析能力，能够检测到大多数的网络攻击。

某些版本的Snort设计上存在漏洞，可以使远程攻击者对Snort程序进行拒绝服务攻击。

当Snort收到一个特别构造的ICMP数据包时，Snort守护进程就会崩溃。这是由于Snort错误地定义了ICMP最小头为8字节。要让Snort恢复功能需要重启进程。很可能以前的Snort版本也受此漏洞的影响。

<*来源：Sinbad （securitymail@263.net）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0122.html
        http://archives.neohapsis.com/archives/bugtraq/2002-01/0142.html
        http://sinbad.dhs.org/cgi-bin/bbstpc?board=Sinbad&file=M.1010975566.A&num=31
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 给1.8.3的Snort源码打如下的补丁：
--- olddecode.h Thu Jan 10 15:47:48 2002
+++ decode.h Thu Jan 10 12:15:33 2002
@@ -105,7 +105,7 @@
#define IP_HEADER_LEN 20
#define TCP_HEADER_LEN 20
#define UDP_HEADER_LEN 8
-#define ICMP_HEADER_LEN 8
+#define ICMP_HEADER_LEN 4
  
#define TH_FIN 0x01
#define TH_SYN 0x02

重新编译程序。

厂商补丁：

Martin Roesch
-------------
目前厂商已经提供了补丁并且在最新版本的软件中修补了这个问题，我们建议使用此软件的用户到厂商的主页获取最新版本：

http://www.snort.org

浏览次数：3118
严重程度：0（网友投票）