95% of the snort sensors I build use OpenBSD and the rest are a mix or
Linux(PAX/GrSecurity)/FreeBSD (for in-line). The exploit did not work
on any of these.<br>
<br>
_Raju<br>
<br><br><div><span class="gmail_quote">On 10/26/05, <b class="gmail_sendername">byte_jump</b> <<a href="mailto:bytejump@...11827...">bytejump@...11827...</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On 10/26/05, Paul Melson <<a href="mailto:pmelson@...11827...">pmelson@...11827...</a>> wrote:<br>><br>> I saw that in the release notes.  To date, my sensors have not detected any<br>> attempts to exploit the bo preproc.  I suppose that now that there's
<br>> publicly available code that I ought to test it. ;)<br>><br>> PaulM<br><br><br>I didn't spend a ton of time on it, but I used the exploit code<br>against a Snort 2.4.0 Snort box with the BO preprocessor enabled.
<br>Snort had been compiled with the SPP gcc (formerly ProPolice) and was<br>on a 2.4 kernel with grsecurity/PaX. It wasn't a scientific test by<br>any means, but the exploit did not work and seemed to fail due to<br>ProPolice (this is a stack-based buffer overflow). The exploit did
<br>work against a similar server without ProPolice and grsecurity.<br><br>Honestly, I'm very disappointed that 1) Sourcefire doesn't use<br>ProPolice and grsecurity on their sensors, and 2) that <a href="http://Snort.org">
Snort.org</a> does<br>not encourage folks to use those security mechanisms, too. Those<br>security measures certainly seemed to work in my less-than-scientific<br>test.<br><br><br>-------------------------------------------------------
<br>This SF.Net email is sponsored by the JBoss Inc.<br>Get Certified Today * Register for a JBoss Training Course<br>Free Certification Exam for All Training Attendees Through End of 2005<br>Visit <a href="http://www.jboss.com/services/certification">
http://www.jboss.com/services/certification</a> for more information<br>_______________________________________________<br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...974...rceforge.net
</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users list archive:
<br><a href="http://www.geocrawler.com/redir-sf.php3?listsnort-users">http://www.geocrawler.com/redir-sf.php3?listsnort-users</a><br></blockquote></div><br><br clear="all"><br>-- <br>May the packets be with you.