nvd,anchore_overrides
Oisf
Уязвимости
73
Эксплуатируемые
0
Критический
7
Высокий
54
Топ продуктов
Топ уязвимостей
CVE-2026-22262Suricata - это сетевой IDS, IPS и NSM-движитель. При сохранении набора данных для подготовки данных используется буфер стека. До версий 8.0.3 и 7.0.14, если данные в наборе данных слишком велики, это может привести к переполнению стека. Версии 8.0.3 и 7.0.14 содержат патч. В качестве обходного процесса не используйте правила с наборами данных `save` или `state` варианты.
CVE-2023-35853В Suricata до версии 6.0.13 злоумышленник, контролирующий внешний источник правил Lua, может быть в состоянии выполнить код Lua. Эта проблема решена в версии 6.0.13 путем отключения Lua, если только allow-rules не имеет значения true в разделе конфигурации безопасности lua.
CVE-2021-37592Suricata до версий 5.0.8 и 6.x до 6.0.4 допускает обход TCP через клиент с созданным стеком TCP/IP, который может отправлять определенную последовательность сегментов.
CVE-2018-10244Suricata версии 4.0.4 некорректно обрабатывает разбор EtherNet/IP PDU. Неправильно сформированный PDU может привести к тому, что код разбора будет читать за пределами выделенных данных, поскольку DecodeENIPPDU в app-layer-enip-commmon.c имеет переполнение целого числа во время проверки длины.
CVE-2018-10243htp_parse_authorization_digest в htp_parsers.c в LibHTP 0.5.26 позволяет удаленным злоумышленникам вызывать переполнение буфера на основе кучи через заголовок authorization digest.
CVE-2026-22264Suricata - это сетевой двигатель IDS, IPS и NSM. До версий 8.0.3 и 7.0.14 неподписанный перелив целых чисел может привести к употреблению кучи после бесплатного при генерации чрезмерного количества предупреждений для одного пакета. Версии 8.0.3 и 7.0.14 содержат патч. В качестве обходного процесса не запускайте ненадеженные правила или бегайте с менее чем 65536 подписями, которые могут соответствовать на одном и том же пакете.
CVE-2019-18792Обнаружена проблема в Suricata 5.0.0. Можно обойти/уклониться от любой сигнатуры на основе tcp, перекрывая TCP-сегмент с поддельным пакетом FIN. Поддельный пакет FIN вставляется непосредственно перед пакетом PUSH ACK, который мы хотим обойти. Пакет PUSH ACK (содержащий данные) будет проигнорирован Suricata, потому что он перекрывает пакет FIN (номер последовательности и подтверждения идентичны в двух пакетах). Клиент проигнорирует поддельный пакет FIN, потому что флаг ACK не установлен. И клиенты Linux, и клиенты Windows игнорируют вставленный пакет.
CVE-2024-23839Suricata — это система обнаружения нарушений в сети, система предотвращения нарушений и движок мониторинга сетевой безопасности. До 7.0.3 специально подготовленный трафик может вызвать использование кучи после освобождения, если правила используют ключевые слова http.request_header или http.response_header. Уязвимость была исправлена в 7.0.3. Чтобы обойти уязвимость, избегайте ключевых слов http.request_header и http.response_header.
CVE-2018-1000167OISF suricata-update версии 1.0.0a1 содержит уязвимость Insecure Deserialization в небезопасной функции yaml.load, используемой в следующих файлах: config.py:136, config.py:142, sources.py:99 и sources.py:131. Команда "list-sources" подвержена этой ошибке. Это может привести к удаленному выполнению кода (даже от имени root, если suricata-update вызывается root). Эта атака, по-видимому, может быть использована через специально созданный yaml-файл по адресу https://www.openinfosecfoundation.org/rules/index.yaml. Эта уязвимость, по-видимому, была исправлена в версии 1.0.0b1.
CVE-2026-31937Отказ в обслуживании в Suricata
CVE-2026-31935Отказ в обслуживании в Suricata
CVE-2026-31934Отказ в обслуживании в Suricata
CVE-2026-31933Отказ в обслуживании в Suricata
CVE-2026-31932Отказ в обслуживании в Suricata
CVE-2026-31931Suricata - это сетевой IDS, IPS и NSM-движок. От версии 8.0.0 до версии 8.0.4, использование ключевого слова правила «tls.alpn» может привести к тому, что Suricata разобьется с NULL. Эта проблема была исправлена в версии 8.0.4.
CVE-2026-22260Отказ в обслуживании в Suricata
CVE-2026-22259Отказ в обслуживании в Suricata
CVE-2026-22258Отказ в обслуживании в Suricata
CVE-2025-64344Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 работа с большими буферами в скриптах Lua может привести к переполнению стека. Пользователи правил Lua и скриптов выводов могут быть затронуты при работе с большими буферами. Это включает в себя правило, передающее большой буфер сценарию Луа. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Обход для этой проблемы включает в себя отключение правил Lua и выведенных скриптов или обеспечение того, чтобы ограничения, такие как resdepth.depth.reassemly и ограничения тела ответа HTTP (ответ-теле-предель, были установлены менее чем в половине размера стека.
CVE-2025-64335Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. В версиях с 8.0.0 до 8.0.2, NULL может возникать дериференция NULL, когда ключевое слово энтропии используется в сочетании с base64_data. Эта проблема была исправлена в версии 8.0.2. Обход включает в себя отключение правил, которые используют энтропию в сочетании с base64_data.
CVE-2025-64334Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. В версиях от 8.0.0 до 8.0.2 сжатые данные HTTP могут привести к несдержанному росту памяти во время декомпрессии. Эта проблема была исправлена в версии 8.0.2. Обходной механизм включает отключение декомпрессии LZMA или ограничение размера ответа-лимата тела.
CVE-2025-64333Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 большой тип HTTP-контента при регистрации может вызвать переполнение стека Suricata. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Обход для этой проблемы включает в себя ограничение stream.reassembly.depth до менее половины размера стека. Увеличение размера стека процесса снижает вероятность того, что ошибка сработает.
CVE-2025-64332Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 может произойти переполнение стека, которое приводит к сбою Suricata, если включена декомпрессия SWF. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Процедура для этой проблемы включает в себя отключение декомпрессии SWF (swf-decompression in surita.yaml), она отключена по умолчанию; установите глубину декомпресса на более чем половину размера стека, если необходимо включить sf-декомпрессию.
CVE-2025-64331Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 переполнение стека может произойти при больших передачах файлов HTTP, если пользователь увеличил лимит исходного тела HTTP-ответа и включил журналирование печатных http тел. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Обход для этой проблемы включает в себя использование ограничений тела HTTP-ответа по умолчанию и/или отключение http-body-печатной лесозаготовки; по умолчанию вырубка тела отключена.
CVE-2025-64330Suricata - это сетевой IDS, IPS и NSM-движок, разработанный OISF (Open Information Security Foundation) и сообществом Suricata. До версий 7.0.13 и 8.0.2 одно бреда считывающего переполнение при регистрации вердикта в записях eve.alert и eve.drop может привести к сбоям. Это требует, чтобы очередь оповещения на пакет была заполнена оповещениями, а затем сопровождалась правилом пропуска. Эта проблема была исправлена в версиях 7.0.13 и 8.0.2. Чтобы уменьшить вероятность возникновения этой проблемы, необходимо увеличить размер очереди оповещения a (packet-alert-max в suricata.yaml), если вердикт включен.