Организация OISF (Open Information Security Foundation) опубликовала корректирующие выпуски системы обнаружения и предотвращения сетевых вторжений Suricata 6.0.3 и 5.0.7, в которых устранена уязвимость CVE-2021-35063, имеющая критический уровень опасности. Проблема даёт возможность обойти любые анализаторы и проверки Suricata.
Уязвимость вызвана отключением анализа потока для пакетов с ненулевым значением ACK, но не установленным битом ACK, что позволяло начать TCP-сеанс с SYN-пакета с ненулевым ACK для вывода всего TCP-соединения из области проверки в Suricata. Подобные пакеты в
Suricata распознавались как ошибочные и обработчики возвращали код ошибки без разбора содержимого.
Release.
Ссылка here.