Thursday, February 22

snort มีความเสี่ยงที่ DCE/RPC

โครงสร้าง snort


  • An Event structure containing
  • generator ID
  • snort ID
  • snort ID Revision number
  • classification ID
  • priority
  • event ID
  • event reference
  • event reference time
  • Event packet information containing
  • packet timestamp
  • source IP
  • destination IP
  • source port/Icmp code
  • dest port/icmp type
  • protocol number
  • event flags
ส่วนเพิ่มเติม , flow records from Snort (stream4) look like this:
  • start time
  • end time
  • server (responder) IP
  • client (initiator) IP
  • server port
  • client port
  • server packet count
  • client packet count
  • server byte count
  • client byte count
  • flow start time
  • last packet time
  • initiator packet count
  • initiator bytes
  • responder packet count
  • responder bytes
  • initiator TCP flag aggregate (if any)
  • responder TCP flag aggregate
  • last packet originator (initiator/receiver)
  • alerts on flow (count)
  • flow flags (bitmap)

พบช่องโหว่ DCE/RPC preprocessor ที่รวมใน Snort 2.6.1.
ช่องโหว่นี้พบใน snort version 2.6.1, 2.6.1.1, 2.6.1.2, และ 2.7 beta 1.
เราสามารถดู snort/src/dynamic-preprocessors/dcerpc/ directory of Snort CVS แสดงผล dcerpc.c และ smb_andx_decode.c ทั้ง 2 ส่วนนี้มีช่องโหว่ software snort ที่สามารถเข้าถึงระบบได้



อ่านเพิ่มเติมได้ที่ http://www.snort.org/docs/advisory-2007-02-19.html
link http://taosecurity.blogspot.com/2007/02/snort-dcerpc-vulnerability-thoughts.html

นนทวรรธนะ สาระมาน
Nontawattana Saraman

No comments: