SuricataはネットワークIDS、IPS、およびNSMエンジンです。バージョン8.0.3および7.0.14以前では、細工されたDCERPCトラフィックによってSuricataがバッファを無制限に拡張し、メモリ枯渇とプロセスの終了を引き起こす可能性があります。UDP上のDCERPCで報告されていますが、TCPおよびSMB上のDCERPCも同様に脆弱であると考えられています。デフォルト構成のDCERPC/TCPは、デフォルトのストリーム深度が1MiBに制限されているため、脆弱ではありません。バージョン8.0.3および7.0.14にはこの問題に対する修正パッチが含まれています。いくつかの回避策も利用可能です。DCERPC/UDPの場合はパーサーを無効にしてください。DCERPC/TCPの場合は、`stream.reassembly.depth`設定によりバッファリングされるデータ量を制限できます。DCERPC/SMBの場合も`stream.reassembly.depth`を使用できますが、デフォルトでは無制限に設定されています。ここで制限を課すとSMBの可視性が失われる可能性があります。
|