Re: Säker Snort?

je@sekure.net je at sekure.net
Wed May 20 15:16:22 CEST 2009


Den den 20 maj 2009 15:10 skrev Janne Johansson <jj at it.su.se>:
> Anders Troback wrote:
>
>> Detta bör vara rätt säkert...eller? Finns det någon möjlighet,
>> praktisk eller teoretisk, att någon skulle komma in på en FBSD burk som
>> bara "lyssnar" på detta sättet på en speglad port?
>
> Ja, om du gör en massa analys på paketen (dvs kör kod) så finns det
> definivt en chans att nån kan få den att köra fulheter, och på så vis
> bli samma user som analysen.
>
> Ethereal / wireshark har ju länge lidit av att deras paket- och
> protokollanalysatorer haft hål, och eftersom många använder dem för att
> titta på just ful trafik så blir "adminens dator" ett hyffsat skoj mål
> att plocka genom att skicka skräp på linan.

Det har ju även identifierats sårbarheter i Snort historiskt:

http://www.sitic.se/sarbarheter/sr/sr07-030-sourcefire-allvarlig-sarbarhet-i-snort/
http://www.sitic.se/sarbarheter/sr/sr05-129-snort-sarbart-for-buffertoverflodning/

/Jonas


More information about the BUS mailing list