-----BEGIN PGP SIGNED MESSAGE-----

各位

                                                  JPCERT-AT-2005-0009
                                                            JPCERT/CC
                                                    2005-10-19 (初版)
                                                    2005-10-21 (更新)

                  <<< JPCERT/CC Alert 2005-10-19 >>>

       Snort Back Orifice preprocessor の脆弱性に関する注意喚起

          Buffer overflow in Snort Back Orifice preprocessor

             http://www.jpcert.or.jp/at/2005/at050009.txt

I. 概要

  Snort に標準で含まれる Back Orifice preprocessor にはバッファオーバー
フローの脆弱性があります。結果として、遠隔から第三者が管理者権限を取得
し、任意のコードを実行する可能性があります。


II. 対象

  Snort versions 2.4.0 - 2.4.2
  Sourcefire Intrusion Sensors

  その他に Snort または Snort コンポーネントを使用する製品が影響を受け
る可能性があります。


III. 対策

  各 OS のベンダや配布元などが提供する対策済みソフトウェアへのアップデー
ト、または設定変更を行ってください。

  - 対策済みソフトウェアへのアップデート
    以下の URL より対策済みソフトウェアを入手して適用してください。
    Snort Downloads
    http://www.snort.org/dl/

　- Snort Back Orifice preprocessor の停止
    Snort Back Orifice preprocessor を無効にすることにより、この脆弱性
    に対処することが可能です。ただし、これにより Snort センサは Back
    Orifice による通信の検出や防止を行わなくなります。以下の手順により
    Snort Back Orifice preprocessor を無効にすることができます。

      1. snort.conf をエディタで開く
      2. "preprocessor bo" の行を "#" でコメントアウトする
      3. ファイルを保存する
      4. snort を再起動する


IV. 参考情報

    US-CERT Technical Cyber Security Alert TA05-291A
    Snort Back Orifice Preprocessor Buffer Overflow
    http://www.us-cert.gov/cas/techalerts/TA05-291A.html

    US-CERT Vulnerability Note VU#175500
    Buffer overflow in Snort Back Orifice preprocessor
    http://www.kb.cert.org/vuls/id/175500

    JP Vendor Status Notes JVNTA05-291A
    Snort Back Orifice Preprocessor にバッファオーバーフローの脆弱性
    http://jvn.jp/cert/JVNTA05-291A/

    JP Vendor Status Notes JVNVU#175500
    Snort Back Orifice プリプロセッサにバッファオーバーフローの脆弱性
    http://jvn.jp/cert/JVNVU%23175500/

    ISS Advisory - Snort Back Orifice Parsing Remote Code Execution
    http://xforce.iss.net/xforce/alerts/id/207

    Sourcefire Network Security
    http://www.sourcefire.com/

    Snort.org - Snort Back Orifice Vulnerability
    http://www.snort.org/rules/advisories/snort_update_20051018.html

    Snort.gr.jp - 日本 Snort ユーザ会
    http://www.snort.gr.jp/


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

__________

改訂履歴

2005-10-19  初版
2005-10-21  参考情報を追加

======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600  FAX: 03-3518-4602
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQ1ioq4x1ay4slNTtAQF1CgQAz57LELhIiDZqR/54PI4j79CGYCpEnZRn
yEnyiqCeSDTNq+ly6sQl2qP0V4VaqGrgvPRDJ19kMKa5F7F9ViMvvGOXKwvSGVN7
7q9mUvP50m+08/WDi6Txd1UYks9QatGZVgoz0fzvMjUdbMLzuwl0Z/JYZkieBYoM
f+gRFZVZdfY=
=0Bde
-----END PGP SIGNATURE-----