Suricata
Уязвимости
71
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.29534
Распределение по критичности
Критический
10
Высокий
48
Средний
13
Низкий
0
Также сопоставлено как (исходные строки): suricata
Топ уязвимостей
CVE-2023-35853В Suricata до версии 6.0.13 злоумышленник, контролирующий внешний источник правил Lua, может быть в состоянии выполнить код Lua. Эта проблема решена в версии 6.0.13 путем отключения Lua, если только allow-rules не имеет значения true в разделе конфигурации безопасности lua.
CVE-2021-37592Suricata до версий 5.0.8 и 6.x до 6.0.4 допускает обход TCP через клиент с созданным стеком TCP/IP, который может отправлять определенную последовательность сегментов.
CVE-2019-16411Проблема обнаружена в Suricata 4.1.4. Отправляя несколько пакетов IPv4, содержащих недопустимые IPv4Options, функция IPV4OptValidateTimestamp в decode-ipv4.c пытается получить доступ к области памяти, которая не выделена. Существует проверка o->len < 5 (соответствует 2 байтам заголовка и 3 байтам данных). Затем "flag = *(o->data + 3)" помещает один за пределы 3 байтов, потому что код должен был быть "flag = *(o->data + 1)" вместо этого.
CVE-2019-10053Проблема обнаружена в Suricata 4.1.x до версии 4.1.4. Если входные данные функции SSHParseBanner состоят только из символа \n, то программа попадает в ситуацию переполнения буфера на основе кучи. Это происходит потому, что ошибочный поиск \r приводит к целочисленному переполнению.
CVE-2018-10244Suricata версии 4.0.4 некорректно обрабатывает разбор EtherNet/IP PDU. Неправильно сформированный PDU может привести к тому, что код разбора будет читать за пределами выделенных данных, поскольку DecodeENIPPDU в app-layer-enip-commmon.c имеет переполнение целого числа во время проверки длины.
CVE-2018-10243htp_parse_authorization_digest в htp_parsers.c в LibHTP 0.5.26 позволяет удаленным злоумышленникам вызывать переполнение буфера на основе кучи через заголовок authorization digest.
CVE-2015-8954Функция MemcmpLowercase в Suricata до версии 2.0.6 неправильно исключает первый байт из сравнений, что может позволить удаленным злоумышленникам обойти функциональность предотвращения вторжений через специально созданный HTTP-запрос.
CVE-2019-18792Обнаружена проблема в Suricata 5.0.0. Можно обойти/уклониться от любой сигнатуры на основе tcp, перекрывая TCP-сегмент с поддельным пакетом FIN. Поддельный пакет FIN вставляется непосредственно перед пакетом PUSH ACK, который мы хотим обойти. Пакет PUSH ACK (содержащий данные) будет проигнорирован Suricata, потому что он перекрывает пакет FIN (номер последовательности и подтверждения идентичны в двух пакетах). Клиент проигнорирует поддельный пакет FIN, потому что флаг ACK не установлен. И клиенты Linux, и клиенты Windows игнорируют вставленный пакет.
CVE-2019-16410Проблема обнаружена в Suricata 4.1.4. Отправляя несколько фрагментированных пакетов IPv4, функция Defrag4Reassemble в defrag.c пытается получить доступ к области памяти, которая не выделена, из-за отсутствия проверки header_len.
CVE-2019-15699Обнаружена проблема в app-layer-ssl.c в Suricata 4.1.4. При получении поврежденного пакета SSLv3 (TLS 1.2) функция разбора TLSDecodeHSHelloExtensions пытается получить доступ к области памяти, которая не выделена, поскольку ожидаемая длина HSHelloExtensions не соответствует реальной длине части HSHelloExtensions пакета.
CVE-2024-23839Suricata — это система обнаружения нарушений в сети, система предотвращения нарушений и движок мониторинга сетевой безопасности. До 7.0.3 специально подготовленный трафик может вызвать использование кучи после освобождения, если правила используют ключевые слова http.request_header или http.response_header. Уязвимость была исправлена в 7.0.3. Чтобы обойти уязвимость, избегайте ключевых слов http.request_header и http.response_header.
CVE-2025-64344Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 работа с большими буферами в скриптах Lua может привести к переполнению стека. Пользователи правил Lua и скриптов выводов могут быть затронуты при работе с большими буферами. Это включает в себя правило, передающее большой буфер сценарию Луа. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Обход для этой проблемы включает в себя отключение правил Lua и выведенных скриптов или обеспечение того, чтобы ограничения, такие как resdepth.depth.reassemly и ограничения тела ответа HTTP (ответ-теле-предель, были установлены менее чем в половине размера стека.
CVE-2025-64335Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. В версиях с 8.0.0 до 8.0.2, NULL может возникать дериференция NULL, когда ключевое слово энтропии используется в сочетании с base64_data. Эта проблема была исправлена в версии 8.0.2. Обход включает в себя отключение правил, которые используют энтропию в сочетании с base64_data.
CVE-2025-64334Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. В версиях от 8.0.0 до 8.0.2 сжатые данные HTTP могут привести к несдержанному росту памяти во время декомпрессии. Эта проблема была исправлена в версии 8.0.2. Обходной механизм включает отключение декомпрессии LZMA или ограничение размера ответа-лимата тела.
CVE-2025-64333Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 большой тип HTTP-контента при регистрации может вызвать переполнение стека Suricata. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Обход для этой проблемы включает в себя ограничение stream.reassembly.depth до менее половины размера стека. Увеличение размера стека процесса снижает вероятность того, что ошибка сработает.
CVE-2025-64332Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 может произойти переполнение стека, которое приводит к сбою Suricata, если включена декомпрессия SWF. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Процедура для этой проблемы включает в себя отключение декомпрессии SWF (swf-decompression in surita.yaml), она отключена по умолчанию; установите глубину декомпресса на более чем половину размера стека, если необходимо включить sf-декомпрессию.
CVE-2025-64331Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 переполнение стека может произойти при больших передачах файлов HTTP, если пользователь увеличил лимит исходного тела HTTP-ответа и включил журналирование печатных http тел. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Обход для этой проблемы включает в себя использование ограничений тела HTTP-ответа по умолчанию и/или отключение http-body-печатной лесозаготовки; по умолчанию вырубка тела отключена.
CVE-2025-64330Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 одно бреда считывающего переполнение при регистрации вердикта в записях eve.alert и eve.drop может привести к сбоям. Это требует, чтобы очередь оповещения на пакет была заполнена оповещениями, а затем сопровождалась правилом пропуска. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Чтобы уменьшить вероятность возникновения этой проблемы, необходимо увеличить размер очереди оповещения a (packet-alert-max в suricata.yaml), если вердикт включен.
CVE-2025-59150Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. Использование версии 8.0.0 ключевого слова tls.subjectaltname может привести к ошибке сегментации, когда декодированное имя субъекта содержит байт NULL. Эта проблема исправлена в версии 8.0.1. Чтобы обойти этот вопрос, отключите правила, используя ключевое слово tls.subjectaltname.
CVE-2025-59148Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. Версии 8.0.0 и ниже неправильно обрабатывают ключевое слово энтропии, когда они не привязаны к «липкому» буферу, что может привести к ошибке сегментации. Эта проблема исправлена в версии 8.0.1. Чтобы обойти эту проблему, пользователи могут отключить правила, используя ключевое слово энтропии, или подтвердить, что они привязаны к липкому буферу.
CVE-2025-59147Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. Версии 7.0.11 и ниже, а также 8.0.0 уязвимы для объезда обнаружения, когда созданный трафик отправляет несколько пакетов SYN с различными числами последовательности в одном и том же потоке, что может привести к тому, что Suricata не сможет забрать сеанс TCP. В режиме IDS это может привести к обнаружению и байпасу регистрации. В режиме IPS это приведет к блокировке потока. Эта проблема исправлена в версиях 7.0.12 и 8.0.1.
CVE-2025-53538Уязвимость Suricata, приводящая к неконтролируемому потреблению ресурсов [1].
Mishandling of data on HTTP2 stream 0 can lead to uncontrolled memory usage, leading to loss of visibility.
Источники:
- [1] https://github.com/OISF/suricata/security/advisories/GHSA-qrr7-crgj-cmh3
- [2] https://github.com/OISF/suricata/commit/1d6d331752e933c46aca0ae7a9679b27462246e3
- [3] https://github.com/OISF/suricata/commit/7fa88ea9e7d05e07a7864050cfd836b576669720
CVE-2025-29915В Suricata обнаружена уязвимость, связанная с включенной по умолчанию опцией AF_PACKET defrag, которая может привести к усечению пакетов и снижению видимости для Suricata. Рекомендуется обновиться до Suricata 7.0.9 или отключить defrag для inline-режимов [1].
Источники:
- [1] https://github.com/OISF/suricata/security/advisories/GHSA-7m5c-cqx4-x8mp
CVE-2024-55629Suricata — это система обнаружения сетевых вторжений, система предотвращения вторжений и механизм мониторинга сетевой безопасности. До версии 7.0.8 TCP-потоки с TCP-срочными данными (внеполосные данные) могут привести к тому, что Suricata будет анализировать данные иначе, чем приложения в конечных точках TCP, что приведет к возможным уклонениям. Suricata 7.0.8 включает параметры, позволяющие пользователям настраивать способ обработки TCP-срочных данных. В режиме IPS вы можете использовать правило, такое как drop tcp any any -> any any (sid:1; tcp.flags:U*;), чтобы отбросить все пакеты с установленным срочным флагом.
CVE-2024-55628Suricata — это система обнаружения сетевых вторжений, система предотвращения вторжений и механизм мониторинга сетевой безопасности. До версии 7.0.8 сжатие имен ресурсов DNS может привести к тому, что небольшие DNS-сообщения будут содержать очень большие имена хостов, которые могут быть дорогостоящими для декодирования и привести к очень большим записям журнала DNS. Хотя существуют ограничения, они были слишком щедрыми. Эта проблема была решена в Suricata 7.0.8.