Организация OISF (Open Information Security Foundation) опубликовала корректирующие выпуски системы обнаружения и предотвращения сетевых вторжений Suricata 6.0.3 и 5.0.7, в которых устранена уязвимость CVE-2021-35063, имеющая критический уровень опасности. Проблема даёт возможность обойти любые анализаторы и проверки Suricata...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55415
> Подобные пакеты в Suricata распознавались как ошибочные и обработчики возвращали код ошибки без разбора содержимогоа какого фига сеанс-то начинался в таком случае?
Потому что они знали, что все случаи пакетов как того описывают стандарты они обработать не сумеют. Потому если бы они дропали коннекшен, то у людей всё ломалось бы. Вот и решили пропускать всё непонятное и незнакомое.
Это не межсетевой экран, а IDS. Он не может влиять на трафик, только выполняет пассивный анализ.
https://en.wikipedia.org/wiki/Robustness_principle
Очень похоже на намеренный бекдор.
Не, тут скорее не бекдор, а просто уязвимость, позволяющая класть болт на один из проактивных анализаторов внешнего кольца защиты. "Сырная безопасность". Поправят, не впервой.
Бекдор бы тут был, если это полностью выносило анализатор в безлоговый краш. Или делало пакеты недетектируемыми по некоторой битовой последовательности.
Обиднее было бы, если бы это была бы дыра с уязвимостью, как в какой-то проприентари: о которой бы ты узнал не тут, а много потом, от энтузиаста-реверсовика, просто исследовавшего блоб.
Хех. И на старуху бывает порнуха
> Подобные пакеты в Suricata распознавались как ошибочные и обработчики возвращали код ошибки без разбора содержимого
> Проблема даёт возможность обойти любые анализаторы и проверки Suricata.Офигеть... То есть, если прилетело непонятно что - проходи?
В nmap с лохматого года есть возможность скана такими пакетами.
могу ли я, монголия, магнолия, заставить клиента ли или сервер тисипи выслать такой пакет? не имея рута. насколько это сложно?