漏洞标题
Suricata碎片化:IP ID复用可能导致策略绕过
漏洞描述信息
Suricata是一款网络入侵检测系统、入侵防御系统和网络安全监控引擎。使用相同的IP ID值处理多个分片包可能会导致包重组失败,从而可能导致策略绕过。升级到7.0.6或6.0.20版本。在使用af-packet时,启用`defrag`以减少问题的范围。
对于需要深度理解网络包处理、安全策略设计以及Suricata配置和更新的场景,这段内容解释了在特定网络安全系统中,不当处理使用相同IP ID值的多个分片包可能导致安全策略失效的风险,并建议了相应的应对措施。对于使用Suricata进行网络安全防护的用户,升级至推荐版本或启用特定配置选项可以帮助减少潜在的安全漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
输入验证不恰当
漏洞标题
Suricata defrag: IP ID reuse can lead to policy bypass
漏洞描述信息
Suricata is a network Intrusion Detection System, Intrusion Prevention System and Network Security Monitoring engine.
Mishandling of multiple fragmented packets using the same IP ID value can lead to packet reassembly failure, which can lead to policy bypass. Upgrade to 7.0.6 or 6.0.20. When using af-packet, enable `defrag` to reduce the scope of the problem.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
漏洞类别
对因果或异常条件的不恰当检查
漏洞标题
Suricata 安全漏洞
漏洞描述信息
Suricata是开放信息安全基金会(Open Information Security Foundation,OISF)和其支持的厂商共同开发的一套网络入侵检测系统(IDS)、入侵防御系统(IPS)和网络安全监控引擎,它支持多线程、内置IPv6、可加载预设规则等。 Suricata 6.0.0至6.0.19版本和7.0.0至7.0.5版本存在安全漏洞,该漏洞源于使用相同IP ID值对多个碎片数据包进行错误处理可能会导致数据包重组失败,从而导致策略绕过。
CVSS信息
N/A
漏洞类别
其他