The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Suricata 7.0.3 и 6.0.16 с устранением критических уязвимостей

08.02.2024 17:31

Организация OISF (Open Information Security Foundation) опубликовала корректирующие выпуски системы обнаружения и предотвращения сетевых вторжений Suricata 7.0.3 и 6.0.16, в которых устранены пять уязвимостей, трём из которых (CVE-2024-23839, CVE-2024-23836, CVE-2024-23837) присвоен критический уровень опасности. Описание уязвимостей пока не раскрывается, тем не менее критический уровень обычно присваивается при возможности удалённого выполнения кода атакующего. Всем пользователям Suricata рекомендуется срочно обновить свои системы.

В списке изменений Suricata уязвимости явно не выделены, но в одном из исправлений отмечается обращение к памяти после её освобождения при обработке некорректных HTTP-заголовков. Одна из критических уязвимостей (CVE-2024-23837) присутствует в библиотеке разбора HTTP-трафика LibHTP.

  1. Главная ссылка к новости (https://suricata.io/2024/02/08...)
  2. OpenNews: Релиз системы обнаружения атак Snort 3
  3. OpenNews: Проблемы безопасности в sort, uniq и join из состава GNU coreutils. Уязвимости в snort, zabbix и CouchDB
  4. OpenNews: Обновление системы обнаружения атак Suricata с устранением критической уязвимости
  5. OpenNews: Выпуск системы обнаружения атак Suricata 7.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60573-suricata
Ключевые слова: suricata, ids, ips
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 17:35, 08/02/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –5 +/
     

     ....ответы скрыты (2)

  • 1.4, Шарп (ok), 18:37, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Удивительно как они догадались разрабатывать систему обнаружения и предотвращения сетевых вторжений на сишке - языке, который способствует созданию дыр и уязвимостей в товарных количествах.
     
     
  • 2.5, Аноним (-), 18:43, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Возможно они исходили из мудрости
    "чтобы найти уязвимость, ты должен думать как узвимость,
    ты должен быть похожим на уязвимость...  ты должен сам стать уязвимость!"

    Но что-то пошло не так, опять)

     
  • 2.6, Анонимус3000 (?), 18:44, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Написано же в гитхабе, security-aware!
     
     
  • 3.22, Tron is Whistling (?), 10:16, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Yeah, we are aware. Sure.
     
  • 2.9, Аноним (9), 19:55, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >сишке - языке, который способствует созданию дыр и уязвимостей в товарных количествах

    Ты в состоянии отличить "инструмент" и "применение"?
    По твоей логике: топор - приспособление, которое способствует убийсту и расчлененке.

     
     
  • 3.11, Аноним (-), 20:24, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты в состоянии отличить "инструмент" и "применение"?
    > По твоей логике: топор - приспособление, которое способствует убийсту и расчлененке.

    Неа, это ты не можешь отличить "инструмент" и "окаменевший кусок непотребства из каменного века".
    И речь не о топоре, а о "болгарке без кожуха с установленным на нее диском от пилы".
    Что как раз способствует "убийству и расчлененке" X-D

    Если у тебя есть инстумент, например перфоратор, у которого нет двойной изоляции, или бур может вылететь из крепления кому-то в голову, или шестеренки открыты - то скорее всего про него скажут "что за х!" и не будут пользоваться.
    Но для дыряшечников - это достоинство, можно же столько раз засверлиться себе в ногу))

     
     
  • 4.13, Аноним (-), 22:46, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В C эксплуатируемость дыр зависит от опций компилятора и линковщика, проца+OS (архитектуры ЭВМ), системной библиотеки C.

    Система на C может иметь гарантии безопасности. Наличие незакрытых компилятором "дыр" влияет на надежность выполнения программы.

    Пример безопасной OS на C: https://www.opennet.dev/openforum/vsluhforumID3/129886.html#309

     
     
  • 5.16, Минона (ok), 23:05, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Система на C может иметь гарантии безопасности.

    Может, например seL4.
    А вот Linux, даже Hardened, не может.

     
     
  • 6.31, Аноним (-), 18:52, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот Linux, даже Hardened, не может.

    Может. Hardened он в Linux разный бываает. Локдовн это не полный харденед.

    Надежности гарантии линукс не даст.

     
  • 4.15, Sw00p aka Jerom (?), 22:57, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Но для дыряшечников - это достоинство, можно же столько раз засверлиться себе в ногу))

    инструмент - любой, можно считать опасным по дефолту если нет строгой инструкции применения (в том числе и с точки зрения безопасности). Словом даже убить можно.  

     
     
  • 5.18, Аноним (-), 23:51, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так есть инструкция. Просто никто ей не следует.
    И не потому что не хотят (хотя знаю таких отбитых, которые принципиально не хотят), а потому что это нереально для мясного мешка. Это типа как сказать работяге "вот у тебя панель, на ней 500 датчиков, следи чтобы ни один не вышел в красную зону больше чем на 1 секунду". Он просто покрутить пальцем у виска.

    Плюс сама инструкция местами овно: "ну, мы сами не знаем как будет, ну вы сами как-то разберитесь на месте".
    Жаль не написали "Делай хорошо, а плохо не делай"

     
     
  • 6.20, Sw00p aka Jerom (?), 00:47, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а потому что это нереально для мясного мешка.

    так инструкция это "делай так и никак иначе", а не "делай как знаешь, только учти ..."

    > Плюс сама инструкция местами овно: "ну, мы сами не знаем как будет,
    > ну вы сами как-то разберитесь на месте".

    значит не должно быть допустимым такое действие (к примеру безопасТные ЯП, там же недопустимо ручное управление памятью, или всякие сырые указатели и связанная с ними арифметика и всякая ересь абстракций высокого уровня).

    > Жаль не написали "Делай хорошо, а плохо не делай"

    как говорил Спиноза, "чтобы сделать что-то хорошо, делай это сам" :)


     
  • 4.23, Tron is Whistling (?), 10:17, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прикинь, перфоратором тоже можно себе ногу просверлить. А болгаркой - руку отпилить.
    Но это не значит, что ими не надо пользоваться для того, для чего они предназначены.
     
     
  • 5.27, Аноним (-), 13:40, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Повторю еще раз:
    есть два с̶т̶у̶л̶а̶ перфоратора, один с целым корпусом, с нему в комплекте идут защитные очки и целый бур, и второй - где провода наружу и искрят, шестерни открыты и только ждут твоих пальчиков, буг был найден на помойке
    И первый и второй могут стены сверлить, но от второго какие-то лишние дырки получаются.
    С болгаркой пример еще проще, снимаешь кожух и ставишь диск от циркулярку, плюешь на неправильные скорости - "тебе же надо".

    Правила ТБ появились не просто так.
    И они касаются не только физических объектов (строительство дома например), но и должны быть стандартизованы для кода, тк глюк в автомобиле (привет тойота) так же приводит к гибели людей.
    Тебе бы не понравилось если бы в твоем доме при хлопке дверью холодильника, отваливался бы балкон.
    А дыряшечников это устраивает.

     
     
  • 6.28, Tron is Whistling (?), 14:36, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > есть два с̶т̶у̶л̶а̶ перфоратора, один с целым корпусом, с нему в комплекте идут защитные очки и целый бур

    Каким образом это не даст тебе пробурить ногу?

    > С болгаркой пример еще проще, снимаешь кожух и ставишь диск от циркулярку,
    > плюешь на неправильные скорости - "тебе же надо".

    Руку можно и с кожухом отпилить.

     

  • 1.17, Минона (ok), 23:14, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Мда…
    Система обнаружения и предотвращения сетевых вторжений уязвимая к удаленному выполнения кода.
    …Эпический обосрамс.
     
  • 1.21, Tron is Whistling (?), 10:15, 09/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бгг, теперь нужна система обнаружения и предотвращения сетевых вторжений для системы обнаружения и предотвращения сетевых вторжений.

    Получится хорошая система системы обнаружения, предотвращения _и_ сетевых вторжений.

     
  • 1.24, Tron is Whistling (?), 10:37, 09/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если серьёзно, то самое дерьмо в том, что эти системы второй ногой обычно в DMZ, имеющем доступ к паролям и управлением железом, даже если не сами, то через систему-посредника.
     
     
  • 2.25, 128557 (?), 12:24, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А нужны ли вообще эти системы предотвращения вторжений? И что они делают из того, что нельзя сделать самому? Или они для ленивых?
     
     
  • 3.30, Аноним (30), 16:20, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы сами будете во все пакеты заглядывать и пускать дальше или нет?
     
  • 2.26, Sw00p aka Jerom (?), 12:37, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    щас вам тут накидают про зиротраст :)
     
     
  • 3.29, Tron is Whistling (?), 14:37, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да я так-то тоже сторонник изоляции, но тогда толку от этих систем нет, и можно их выкинуть, всё равно ручками смотреть.
     
  • 2.32, нах. (?), 10:16, 10/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > даже если не сами, то через систему-посредника

    И, в чем проблема?

    Я вон купил тут себе поиграть SSM для древней ASA - все равно надо чем-то дырку закрыть, а заглушки редкость и дороже модулей стоят (он без подписки и раньше был бесполезен, а сейчас просто игрушка).
    Там внутре лин00ps и проклятая сишка, и наверное даже увизгвимости... ой... предположим даже ты получил управление этой коробочкой. А дальше - вот что? У нее ноль обычных сетевых интерфейсов. Есть только дырка через которую она обнюхивает транзитный траффик и выдает команду - заткнуть нафиг или так сойдет. Т.е. максимум можно нагадить - все сломать и "неисправный" модуль просто выключат.

    Придется поискать еще симметричный баг в самой асе, причем вот так - без сетевого линка, вслепую, и не каждая команда дойдет.

    Сдаеттца мне, шансов около нуля.

    Другое дело что щас так немодно, надо понакупить виртуальных машинок и повоткнуть их всеми интерфейсами во все сети сразу. Что внутри крутится - никому не скажем, но скорее всего - сп-ли что было бесплатным и накрутили сверху корпоративный йепп-интерфейс.

    Вполне может той же суррогатой и оказаться.

     
     
  • 3.33, Tron is Whistling (?), 10:59, 11/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я с Firepower'ом немножко игрался - ну... для кровавого энтерпрайза наверное как-то пригодно, но реальной практической ценности не нашли, и так он и стал отключенным в итоге.
     
     
  • 4.34, нах. (?), 15:35, 12/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    он "немножко" уежищен... ну и без подписок смысла не имеет (внутри-то по сути тот же самый snort что и двадцать лет назад, но на стер... asic'ах).


    Но для тех у кого всякой твари по паре и неизвестно каких мутантов плодят сумрачные гении-аутсорсеры - либо это (в комплекте с подпиской на ngips или куда там ее в сотый раз переименовали), либо аналогичные подписки PA и ее коробка, либо чекпоинт, если гражданством ганзы ты не вышел.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру