[CERT-SE]

[MSB]

Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Hem → Publikationer → Nämnvärt → http_inspect för Snort kan kringgås

Nyheter

SR12-025 Novell - iPrint sårbart
Flera sårbarheter har hittats i Novells iPrint klient, vilka kan utnyttjas av en angripare för att kompromettera en användares system.
2012-02-09 15:55

SR12-024 Google - Chrome uppdaterad
Google har släppt en uppdaterad version av Chrome och rättar ett antal sårbarheter i webbläsaren.
2012-02-08 22:32

Internetkameror en säkerhetsfara?
Trots att ett lösenord har satts på installationen kan vem som helst som känner till ip-adressen se det som kameran visar.
2012-02-07 16:28

CERT-SE:s veckobrev v.5
I veckan kunde vi bland annat läsa om svagheter i FileVault, sårbarheter i ett antal smarta mobiltelefoner från HTC samt att botnätet Kelihos/Hlux är på krigsstigen igen.
2012-02-03 14:08

SR12-023 PHP - Sårbarhet i PHP version 5.3.9
En sårbarhet som kan medge godtycklig kodexekvering har identifierats i PHP 5.3.9 och rättats i version 5.3.10.
2012-02-03 10:39

SR12-022 Apache - Sårbarheter rättade i Apache HTTP-server
Apache har släppt version 2.2.22 av sin HTTP-server och rättar ett antal sårbarheter i produkten.
2012-02-03 09:55

SR12-021 Apple - Ett flertal sårbarheter i OS X
Apple har släppt APPLE-SA-2012-02-01-1 och rättar ett flertal sårbarheter i OS X.
2012-02-02 14:47

SR12-020 Mozilla - Sårbarheter i Firefox, Thunderbird och SeaMonkey
Mozilla har släppt uppdateringar som rättar ett antal sårbarheter i Firefox, Thunderbird och SeaMonkey.
2012-02-01 11:26

SR12-019 VMware - Uppdateringar till ESXi och ESX
VMware har släppt en bulletin innehållande säkerhetsuppdateringar till tredjepartsprogram för ESXi / ESX och ESX Service Console: VMSA-2012-0001.
2012-02-01 10:26

Prenumerera på RSS/Atom

Mer...

http_inspect för Snort kan kringgås

http_inspect är en modul för intrångsdetekteringssystemet Snort som normaliserar webbservertrafik så att det inte ska gå att använda tekniker för att kringgå Snorts regelverk. Sådana tekniker är tex URL:er omskrivna till Unicode eller till hexadecimal kod. Demarc Threat Research Team varnar nu för att modulen http_inspect går att kringå.

Genom att ange ett radbrytningstecken (carriage return) innan HTTP-protokollet anges, kan Snorts regler för att larma om elakartad webbtrafik förbigås och en angripare förbli oupptäckt.
Följande exempel på ett sådant anrop kommer från Demarc:

$ perl -e'print "GET /awstats.pl?configdir=|backdoor\r http/1.0\r\n\r\n"'|nc vulnerable.server 80

Enligt snort.org går denna teknik bara att använda mot webbservrar från Apache (www.apache.org), då den är den enda server som klarar av att tolka anropet och ge en sida tillbaka till angriparen.

Snort.org kommer att släppa nya versioner av sitt intrångsdetekteringssystem måndagen den 5:e Juni. I dessa versioner ska problemet vara åtgärdat.

Mer information:
http://www.snort.org/pub-bin/snortnews.cgi#431
http://www.demarc.com/support/downloads/patch_20060531
http://www.securityfocus.com/bid/18200

Uppdaterad 2009-10-14 09:43 | Publicerad 2006-06-01 15:21