米IBM傘下のISS X-forceは19日(米国時間)、フリーのIDSソフトウェアであるSnortと米Sourcefire製Intrusion Sensor IDS/IPSのバッファオーバーフローの脆弱性を発見したことを公表した。

当該脆弱性はデフォルトの設定で有効であるDCE/RPCプリプロセッサに存在する。プリプロセッサとは特定の処理をモジュール化することでSnortに付加機能を実装させることを容易にする機能のことをいう。

今回問題を生じさせたプリプロセッサは、SMB(Server Message Block)トラフィックの自動認識ならびに再構築に係る部分だという。具体的には、脆弱なバージョンのSnortは、ある特定のトラフィックが妥当なTCPセッションの一部であるかを確認していないという。また、複数のWrite AndX要求を単一のTCPセグメントの中で連続させることが、攻撃者に可能であるという。以上のことを攻撃者は利用し、複数のWrite AndX要求をSnortにそのまま再構築処理を行わせることで、多大なデータをスタック領域に書き込ませ、オーバーフローを発生させることが可能であると、当該文書から推察される。

問題のあるSnortのバージョンは以下の通りである。

• Snort 2.6.1 / 2.6.1.1 / 2.6.1.2
• Snort 2.7.0 beta 1

Snort 2.6.1.xは2.6.1.3に、Snort 2.7.0 betaはBeta2にアップグレードすることで、この問題を解消できるという。