オープンソースのIDS「Snort」に脆弱性、ワーム発生につながるおそれも

オープンソースのIDS「Snort」に、悪用が極めて容易な脆弱性が発見された。

[ITmedia]

　オープンソースのIDS（不正侵入検知システム）「Snort」に、緊急の脆弱性が発見された。開発元では、問題を修正したバージョン2.4.3にアップグレードするよう推奨している。

　問題を指摘したInternet Security SystemsやUS-CERTによると、脆弱性が存在するのはSnort 2.4.0から2.4.2。

　これらのバージョンに含まれるプラグイン、Back Orificeプリプロセッサにバッファオーバーフローの脆弱性が存在する。細工を施したUDPパケットによってシステムを乗っ取られ、リモートから任意のコードを実行される恐れがある。また、これを悪用したワームの発生につながる可能性も指摘されている。

　SnortをベースとしたSourceFireのIDS製品も、同様に影響を受ける。また、Snortを組み込んだ他の製品にも影響が及ぶ可能性は高い。

　問題は、この脆弱性の悪用が容易な点だ。たった1つのUDPパケットでコード実行が可能な上、Back Orificeのデフォルトポート（31337/udp）に限られないため、きわめて簡単に悪用される恐れがある。

　問題を修正するには、最新版のSnort 2.4.3にアップグレードすること。それが困難な場合は、Snortの設定を変更してBack Orificeプリプロセッサを無効にすることが推奨されている。

　またSANS-ISCでは、さらに「不必要なコンポーネントは無効にする」「Snortをroot権限で動かさない」「システムを要塞化する」「リモートログを用いる」など、システムを守るための事項をいくつか挙げている。