forum.opennet.ru - "Обновление системы обнаружения атак Suricata с устранением критической уязвимости" (10)

"Обновление системы обнаружения атак Suricata с устранением критической уязвимости"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление системы обнаружения атак Suricata с устранением критической уязвимости"	+/–
Сообщение от opennews (ok), 01-Июл-21, 08:19
Организация OISF (Open Information Security Foundation) опубликовала корректирующие выпуски системы обнаружения и предотвращения сетевых вторжений Suricata 6.0.3 и 5.0.7, в которых устранена уязвимость CVE-2021-35063, имеющая критический уровень опасности. Проблема даёт возможность обойти любые анализаторы и проверки Suricata... Подробнее: https://www.opennet.me/opennews/art.shtml?num=55415
Ответить \| Правка \| Cообщить модератору

Оглавление

а какого фига сеанс-то начинался в таком случае , OnTheEdge (ok), 08:19 , 01-Июл-21, (1)

Потому что они знали, что все случаи пакетов как того описывают стандарты они об, Аноним (2), 08:25 , 01-Июл-21, (2)
Это не межсетевой экран, а IDS Он не может влиять на трафик, только выполняет п, Аноним (6), 08:41 , 01-Июл-21, (6) +3
https en wikipedia org wiki Robustness_principle, Ordu (ok), 18:51 , 01-Июл-21, (11)

Очень похоже на намеренный бекдор , ИмяХ (?), 08:26 , 01-Июл-21, (3) –2

Не, тут скорее не бекдор, а просто уязвимость, позволяющая класть болт на один и, Жироватт (ok), 08:55 , 01-Июл-21, (8) +4

Хех И на старуху бывает порнуха, Жироватт (ok), 08:41 , 01-Июл-21, (5) –1
Офигеть То есть, если прилетело непонятно что - проходи , YetAnotherOnanym (ok), 13:51 , 01-Июл-21, (10)
В nmap с лохматого года есть возможность скана такими пакетами , Аноним (12), 19:56 , 01-Июл-21, (12)
могу ли я, монголия, магнолия, заставить клиента ли или сервер тисипи выслать та, 404 (?), 21:31 , 01-Июл-21, (13)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от OnTheEdge (ok), 01-Июл-21, 08:19 +/–

> Подобные пакеты в Suricata распознавались как ошибочные и обработчики возвращали код ошибки без разбора содержимого
а какого фига сеанс-то начинался в таком случае?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #6, #11

2. Сообщение от Аноним (2), 01-Июл-21, 08:25 +/–

Потому что они знали, что все случаи пакетов как того описывают стандарты они обработать не сумеют. Потому если бы они дропали коннекшен, то у людей всё ломалось бы. Вот и решили пропускать всё непонятное и незнакомое.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от ИмяХ (?), 01-Июл-21, 08:26 –2 +/–

Очень похоже на намеренный бекдор.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

5. Сообщение от Жироватт (ok), 01-Июл-21, 08:41 –1 +/–

Хех. И на старуху бывает порнуха

Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 01-Июл-21, 08:41 +3 +/–

Это не межсетевой экран, а IDS. Он не может влиять на трафик, только выполняет пассивный анализ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от Жироватт (ok), 01-Июл-21, 08:55 +4 +/–

Не, тут скорее не бекдор, а просто уязвимость, позволяющая класть болт на один из проактивных анализаторов внешнего кольца защиты. "Сырная безопасность". Поправят, не впервой.
Бекдор бы тут был, если это полностью выносило анализатор в безлоговый краш. Или делало пакеты недетектируемыми по некоторой битовой последовательности.
Обиднее было бы, если бы это была бы дыра с уязвимостью, как в какой-то проприентари: о которой бы ты узнал не тут, а много потом, от энтузиаста-реверсовика, просто исследовавшего блоб.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от YetAnotherOnanym (ok), 01-Июл-21, 13:51 +/–

> Подобные пакеты в Suricata распознавались как ошибочные и обработчики возвращали код ошибки без разбора содержимого
> Проблема даёт возможность обойти любые анализаторы и проверки Suricata.
Офигеть... То есть, если прилетело непонятно что - проходи?

Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Ordu (ok), 01-Июл-21, 18:51 +/–

https://en.wikipedia.org/wiki/Robustness_principle

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от Аноним (12), 01-Июл-21, 19:56 +/–

В nmap с лохматого года есть возможность скана такими пакетами.

Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от 404 (?), 01-Июл-21, 21:31 +/–

могу ли я, монголия, магнолия, заставить клиента ли или сервер тисипи выслать такой пакет? не имея рута. насколько это сложно?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от OnTheEdge (ok), 01-Июл-21, 08:19	+/–
> Подобные пакеты в Suricata распознавались как ошибочные и обработчики возвращали код ошибки без разбора содержимого а какого фига сеанс-то начинался в таком случае?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #6, #11

2. Сообщение от Аноним (2), 01-Июл-21, 08:25	+/–
Потому что они знали, что все случаи пакетов как того описывают стандарты они обработать не сумеют. Потому если бы они дропали коннекшен, то у людей всё ломалось бы. Вот и решили пропускать всё непонятное и незнакомое.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

3. Сообщение от ИмяХ (?), 01-Июл-21, 08:26	–2 +/–
Очень похоже на намеренный бекдор.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8

5. Сообщение от Жироватт (ok), 01-Июл-21, 08:41	–1 +/–
Хех. И на старуху бывает порнуха
Ответить \| Правка \| Наверх \| Cообщить модератору

6. Сообщение от Аноним (6), 01-Июл-21, 08:41	+3 +/–
Это не межсетевой экран, а IDS. Он не может влиять на трафик, только выполняет пассивный анализ.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

8. Сообщение от Жироватт (ok), 01-Июл-21, 08:55	+4 +/–
Не, тут скорее не бекдор, а просто уязвимость, позволяющая класть болт на один из проактивных анализаторов внешнего кольца защиты. "Сырная безопасность". Поправят, не впервой. Бекдор бы тут был, если это полностью выносило анализатор в безлоговый краш. Или делало пакеты недетектируемыми по некоторой битовой последовательности. Обиднее было бы, если бы это была бы дыра с уязвимостью, как в какой-то проприентари: о которой бы ты узнал не тут, а много потом, от энтузиаста-реверсовика, просто исследовавшего блоб.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

10. Сообщение от YetAnotherOnanym (ok), 01-Июл-21, 13:51	+/–
> Подобные пакеты в Suricata распознавались как ошибочные и обработчики возвращали код ошибки без разбора содержимого > Проблема даёт возможность обойти любые анализаторы и проверки Suricata. Офигеть... То есть, если прилетело непонятно что - проходи?
Ответить \| Правка \| Наверх \| Cообщить модератору

11. Сообщение от Ordu (ok), 01-Июл-21, 18:51	+/–
https://en.wikipedia.org/wiki/Robustness_principle
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

12. Сообщение от Аноним (12), 01-Июл-21, 19:56	+/–
В nmap с лохматого года есть возможность скана такими пакетами.
Ответить \| Правка \| Наверх \| Cообщить модератору

13. Сообщение от 404 (?), 01-Июл-21, 21:31	+/–
могу ли я, монголия, магнолия, заставить клиента ли или сервер тисипи выслать такой пакет? не имея рута. насколько это сложно?
Ответить \| Правка \| Наверх \| Cообщить модератору