[stalk:01490] Re: [FYI]snort1.8.0 か�ら 1.9.0に脆弱性

["shikap@xxxxxxxxxxxx" <shikap@xxxxxxxxxxxx>]

しかＰです。

加藤さんの推測通り、confで指定する、output pluginすべてが
きちんと認識されないのです。

今手元にないので、細かなメッセージは忘れたのですが、具体的に
言うと、confファイルで例えば、alert_syslogを設定して起動すると、
warning：”alert_syslog”is unknown prosessor
とかいうメッセージを見ることになります。
当然、まともに動きません。
プロプロセッサなどは正常に動きますから、/var/log/snort/alertには
きちんとalertが記録されるのですが・・・。

どうしてこんなことが起こっているかというと、confファイルを読んでから
outputのプロセッサを初期化（と言うより、登録）しているため、confを
読んだ時点では、「snortはすべてのoutputプロセッサを知らない」のです。
なので、正常に動かない、と。
なので、初期化のルーチンが呼ばれるタイミングをきちんとしてあげないと
いけない、と。
面倒なのが、-cオプションでconfを読ませる場合と-cオプションを付けない
場合とでルーチンの呼ばれ方が違うのか、場当たり修正では-c付きがいまいち
くんでした（笑）。
＃やっぱ場当たりじゃいかんのか、と・・・:-(

で、肝心のパッチですが、作ってません（笑）。
パッチがあるよ、てな情報も現状見つけていません。
もしかしたら、そろそろどこかで流れているかも知れませんが・・・・。
上記の理由もあるので、きちんとsnort.cを読んでからでないとこわくて
パッチが作れない、ってな事情もあります。
＃ソースはできる限り読まない、と言うのが私のポリシーだし:-)

今諸般の事情で（本業はともかく、別件でも）手一杯なので、今週中には
なんらかの回避手段（パッチとか）を作成するつもりです。
できたら、Webで公開します。
<mnlg>つか、大戦略もやらなきゃ、だしなぁ・・・とか言ってみるテスト</mnlg>

ちなみに、1.9.0であったかどうかは知りません。1.9ベースって、
信用していなかったのと、私やこのMLの名称がソースから消えてしまって
いるので、使いたくなかったというか（ぉぃ

取り急ぎ。
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　 ５年ぶり！　事件はネットで　起こってる！？
　 http://www.infoseek.co.jp/Odoru?pg=odoru_special.html&svx=971122