Si un atacante remoto envía una URL especialmente manipulada que contenga un retorno de carro justo antes de la declaración de protocolo HTTP, puede eludir la detección de reglas «uricontent», por lo que se ven afectadas cientos de reglas de la base de datos de Snort.
En la práctica, un atacante podría hacer pasar inadvertidos ciertos tipos de ataque. Para que el problema pueda ser aprovechado, es necesario que el servidor web protegido soporte caracteres especiales en peticiones HTTP.
El fallo está siendo aprovechado activamente, y ha sido detectado por Blake Hartstein, miembro del Demarc Threat Research Team, que habla de una «evasión de Snort a gran escala». En la página original también se ha publicado la forma de aprovechar la vulnerabilidad.
Debido a la gravedad del problema, se ha publicado un parche no oficial desde la página de los descubridores, aunque se publicará una versión oficial no vulnerable el día 5 de junio.
Más información:
Snort Bypass Vulnerability
http://www.demarc.com/support/downloads/patch_20060531
