US-CERT ha informado de la existencia de una vulnerabilidad de desbordamiento de buffer en el preprocesador Back Orifice de Snort (*), que podría permitir a un atacante ejecutar código arbitrario en los sistemas afectados. Para evitar este problema se ha publicado la versión 2.4.3 de Snort.

El preprocesador Back Orifice de Snort decodifica los paquetes para determinar si contienen mensajes ping de Back Orifice. En la práctica, el desbordamiento de buffer es posible porque el código de detección ping no limita de forma adecuada -en un buffer de tamaño fijo- la cantidad de datos que se leen en los paquetes.

Un atacante remoto podría aprovecharse de la citada vulnerabilidad enviando un paquete UDP -especialmente construido- al sistema monitorizado por Snort. Generalmente Snort se ejecuta con privilegios de administración o del sistema, por lo que el agresor podrá lograr el control total de los sistemas afectados.

A la versión 2.4.3 de Snort, en la que se encuentra resuelto el mencionado problema de seguridad, puede accederse desde el sitio de descarga de Snort (http://www.snort.org/dl/).

El aviso proporcionado por US-CERT se encuentra publicado en: http://www.us-cert.gov/cas/techalerts/TA05-291A.html

(*) Snort es un Sistema de Detección de Intrusos (Intrusion Detection System -IDS-) de código abierto, ampliamente utilizado. Además, sus componentes son empleados en otros productos IDS.