侵入検出および防止ツールのsuricataで、複数の問題が見つかりました。

CVE-2017-7177

Suricataには、フラグメントマッチング中のIPプロトコルのチェックの欠如によって引き起こされるIPv4デフラグメンテーション回避の問題があります。

CVE-2017-15377

detect-engine-content-inspection.cにDetectEngineContentInspectionがあるために、特定の署名を使用して細工されたネットワークトラフィックのコンテンツで多数の冗長チェックをトリガーすることが可能でした。
検索エンジンは、検索がヒットしなかった場合に停止すべきですが、停止しません。
代わりに、inspection-recursion-limit（デフォルトでは3000）に達した場合にのみ停止します。

CVE-2018-6794

Suricataは、detect.cおよびstream-tcp.cにおけるHTTP検出バイパスの脆弱性の影響を受けやすくなっています。3ウェイハンドシェイクが完了する前に、悪意のあるサーバーが通常のTCPフローを中断し、データを送信した場合、悪意のあるサーバーによって送信されたデータは、WebブラウザーやLinux CLIユーティリティなどのWebクライアントに受け入れられますが、Suricata IDSでは無視されます。これは主に、HTTPプロトコルとTCPストリームコンテンツのIDS署名に影響を与えます。 TCPパケットの署名は、通常通りこのようなネットワークトラフィックを検査します。

TEMP-0856648-2BC2C9（CVEは未割り当て）

app-layer-dns-common.cでの領域外読み取り。ゼロサイズのAまたはAAAAレコードで、依然として4または16バイトが読み取られます。

Debian 8「Jessie」では、これらの問題はバージョン2.0.7-2+deb8u3で修正されました。

suricataパッケージをアップグレードすることをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-1603-1: suricataのセキュリティ更新

high Nessus プラグイン ID 119425

バージョン 1.6