Уязвимость реализации протокола DCERPC системы обнаружения и предотвращения вторжений Suricata связана с неограниченным распределением ресурсов. Эксплуатация уязвимости, может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Использование рекомендаций:
https://suricata.io/2026/01/13/suricata-8-0-3-and-7-0-14-released/
https://github.com/OISF/suricata/commit/39d8c302af3422a096b75474a4f295a754ec6a74
https://github.com/OISF/suricata/commit/f82a388d0283725cb76782cf64e8341cab370830
https://github.com/OISF/suricata/releases/tag/suricata-7.0.14
https://github.com/OISF/suricata/releases/tag/suricata-8.0.3
Компенсирующие меры:
- для DCERPC/UDP: отключите парсер.
- для DCERPC/TCP настройка stream.reassembly.depth ограничит объем данных, которые могут быть запущены в буфер.
- для DCERPC/SMB также можно использовать stream.reassembly.depth, но по умолчанию он установлен на неограниченное значение. Установка ограничения в этом случае может привести к потере видимости в SMB.
- чтобы отключить DCERPC через UDP, но оставить его включенным через TCP, вам понадобятся следующие разделы в suricata.yaml.
dcerpc:
# no field enabled at this level
tcp:
enabled: yes
udp:
enabled: no
| Балл | 7.8 — высокая опасность |