Pages

Pages

Oct 20, 2005

SNORT: BackOrificeの為のプリプロセッサーにBOの脆弱性

"http://www.us-cert.gov/cas/techalerts/TA05-291A.html">US-CERT
Technical Cyber Security Alert TA05-291A


UDPパケット一発でおちるそう。
Slammerの時に分かったことなんですが、
FWやルータをキチンと設定して運用している企業でも
意外とUDPは盲点だったりします。そんなわけでご注意を。


一応このサーバ(www.takui.net)でsnortを動かしているのであわてて対策。
いきなりバージョンアップが面倒なので、とりあえず脆弱性のあるPreprocessorを無効に。

設定ファイルsnort.confの


style="MARGIN-RIGHT: 0px">

preprocessor bo



を以下の通りコメントアウト


style="MARGIN-RIGHT: 0px">

#preprocessor bo



 


preprocessorなんて意識することなくデフォルトのまま使っていたけど、実はいろいろあるのね。
"http://www.stackasterisk.jp/tech/systemManagement/snort03_02.jsp">
http://www.stackasterisk.jp/tech/systemManagement/snort03_02.jsp


勉強になりました。