Mailinglist Archive: opensuse-es (1490 mails)
| < Previous | Next > |
Re: [suse-linux-s] SNORT me bloquea el IMAP
- From: "Carlos E. R." <robin1.listas@xxxxxxxxxx>
- Date: Thu, 17 Nov 2005 19:38:10 +0100 (CET)
- Message-id: <Pine.LNX.4.61.0511171903410.4152@xxxxxxxxxxxxxxxx>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El 2005-11-17 a las 18:32 +0100, Emiliano Sutil escribió:
> No, pararlo no lo para, lo que hace es que el cliente de IMAP, el
> mozilla thunderbird en este caso, no recoge nada.
Pero es que el snort no puede afectar en nada, no debe. Si quitando el
snort te funciona, has descubierto un bug. O yo estoy muy equivocado, que
también pudiera ser.
>
> > > snort: [1:3070:1] IMAP fetch overflow attempt [Classification: Misc
> > > Attack] [Priority: 2]: {TCP} 192.168.1.110:1126 -> 192.168.1.40
Está documentado:
.../packages/snort/signatures/3070.txt.gz
Rule:
- --
Sid:
3070
- --
Summary:
This event is generated when an attempt is made to exploit a buffer
overflow associated with the several commands of the Mercury Mail IMAP
service.
- --
Impact:
A successful attack may cause a denial of service or a buffer overflow
and the subsequent execution of arbitrary code on a vulnerable server.
- --
Detailed Information:
A vulnerability exists in the way that the Mercury Mail IMAP service
handles several commands. An excessively long command argument can
trigger a denial of service or a buffer overflow and the subsequent
execution of arbitrary code on a vulnerable server.
- --
Affected Systems:
Pegasus Mail Mercury Mail Transport System 3.32
Pegasus Mail Mercury Mail Transport System 4.01a
- --
Attack Scenarios:
An attacker can supplied an overly long command, causing denial of
service or a buffer overflow.
- --
Ease of Attack:
Simple.
- --
False Positives:
None known.
- --
False Negatives:
None known.
- --
Corrective Action:
Upgrade to the latest non-affected version of the software.
- --
Contributors:
Sourcefire Research Team
Brian Caswell<bmc@xxxxxxxxxxxxxx>
Judy Novak <judy.novak@xxxxxxxxxxxxxx>
- --
Additional References:
- --
> La verdad es que esa ip, en concreto el usuario que usa ea ip tiene un
> buzon IMAP bastante grande ocupa 700 megas, pero es lo que hay.
No, eso no tiene nada que ver.
Si tu no tienes el pegasus ese, y ese usuario no es un hacker, deberías
reportar esto a snort como un falso ataque.
Pero aparte de eso, se pueden desactivar pruebas.
En /etc/snort/rules/imap.rules, cerca del final está la que buscas,
la comentas y queda desactivada, y santas pascuas.
- --
Saludos
Carlos Robinson
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iD8DBQFDfM4ptTMYHG2NR9URAkvJAJkBdiuaJ17Ui42VRMXRARELkLdYHQCeKrgz
yJfAkoXWVbPZ0N+lFmrTx30=
=xds5
-----END PGP SIGNATURE-----
Hash: SHA1
El 2005-11-17 a las 18:32 +0100, Emiliano Sutil escribió:
> No, pararlo no lo para, lo que hace es que el cliente de IMAP, el
> mozilla thunderbird en este caso, no recoge nada.
Pero es que el snort no puede afectar en nada, no debe. Si quitando el
snort te funciona, has descubierto un bug. O yo estoy muy equivocado, que
también pudiera ser.
>
> > > snort: [1:3070:1] IMAP fetch overflow attempt [Classification: Misc
> > > Attack] [Priority: 2]: {TCP} 192.168.1.110:1126 -> 192.168.1.40
Está documentado:
.../packages/snort/signatures/3070.txt.gz
Rule:
- --
Sid:
3070
- --
Summary:
This event is generated when an attempt is made to exploit a buffer
overflow associated with the several commands of the Mercury Mail IMAP
service.
- --
Impact:
A successful attack may cause a denial of service or a buffer overflow
and the subsequent execution of arbitrary code on a vulnerable server.
- --
Detailed Information:
A vulnerability exists in the way that the Mercury Mail IMAP service
handles several commands. An excessively long command argument can
trigger a denial of service or a buffer overflow and the subsequent
execution of arbitrary code on a vulnerable server.
- --
Affected Systems:
Pegasus Mail Mercury Mail Transport System 3.32
Pegasus Mail Mercury Mail Transport System 4.01a
- --
Attack Scenarios:
An attacker can supplied an overly long command, causing denial of
service or a buffer overflow.
- --
Ease of Attack:
Simple.
- --
False Positives:
None known.
- --
False Negatives:
None known.
- --
Corrective Action:
Upgrade to the latest non-affected version of the software.
- --
Contributors:
Sourcefire Research Team
Brian Caswell<bmc@xxxxxxxxxxxxxx>
Judy Novak <judy.novak@xxxxxxxxxxxxxx>
- --
Additional References:
- --
> La verdad es que esa ip, en concreto el usuario que usa ea ip tiene un
> buzon IMAP bastante grande ocupa 700 megas, pero es lo que hay.
No, eso no tiene nada que ver.
Si tu no tienes el pegasus ese, y ese usuario no es un hacker, deberías
reportar esto a snort como un falso ataque.
Pero aparte de eso, se pueden desactivar pruebas.
En /etc/snort/rules/imap.rules, cerca del final está la que buscas,
la comentas y queda desactivada, y santas pascuas.
- --
Saludos
Carlos Robinson
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iD8DBQFDfM4ptTMYHG2NR9URAkvJAJkBdiuaJ17Ui42VRMXRARELkLdYHQCeKrgz
yJfAkoXWVbPZ0N+lFmrTx30=
=xds5
-----END PGP SIGNATURE-----
| < Previous | Next > |