CVE-2019-18792

Suricata versão 5.0.0

Foi descoberta uma falha no Suricata que permite que um invasor contorne ou evite qualquer assinatura baseada em TCP sobrepondo um segmento TCP a um pacote FIN falso. O pacote FIN falso é injetado imediatamente antes do pacote PUSH ACK, que contém os dados a serem contornados. O Suricata ignora o pacote PUSH ACK porque ele se sobrepõe ao pacote FIN, que possui números de sequência e ACK idênticos. O cliente ignora o pacote FIN falso porque o sinalizador ACK não está definido. Tanto os clientes Linux quanto os Windows ignoram o pacote injetado.

Para a versão 5.0.0 do Suricata, considere desativar a detecção de assinaturas TCP até que um patch esteja disponível, como uma solução temporária para minimizar o risco de exploração. Restrinja o acesso ao sistema Suricata para impedir que invasores remotos injetem pacotes FIN falsos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.