Snort stanowi bazę konstrukcyjną dla komercyjnych produktów - takich na przykład, jak produkowane przez Sourcefire - i może być używany do wykrywania różnorodnych ataków sieciowych czy sondowań sieci, takich jak próby przepełniania bufora czy skanowanie portów.

Według ISS (Internet Security Systems) usterka związana z efektem przepełnienia bufora została znaleziona w kodzie Snort używanym do wykrywania ataków techniką fragmentacji RCP (Remote Procedure Call).

Zobacz również:

• Hakerzy włamali się do znanego polskiego sklepu internetowego

Fragmentacja RCP może być użyta do ominięcia systemu IDS. RCP jest protokołem, z pomocą którego program może zażądać usługi od innego programu, zlokalizowanego na innym komputerze w sieci.

Snort niewłaściwie kontroluje rozmiar fragmentów RCP w chwili szacowania dostępnej pamięci w buforze wstępnego przetwarzania. Wysyłając dane o objętości przekraczającej wielkość bufora można spowodować przepełnienie bufora, a to z kolei może załamać działanie sensora i umożliwić napastnikowi umieszczenie i wykonanie szkodliwego kodu na zaatakowanym hoscie.

Do wykorzystania tej luki , napastnik musi spreparować ruch RCP tak, aby uzyskać przepełnienie bufora, nie musi przy tym znać adresu sensora - wystarczy wysłać odpowiedni pakiet do sieci, która jest chroniona przez sensory Snort.

Ponieważ sensory Snort i inne produkty IDS zazwyczaj chronią sieci o znaczeniu krytycznym, wyłączenie sensora Snort może udostępnić ruch sieciowy napastnikowi. Ruch ten może być następnie wykorzystany do uzyskania informacji niezbędnej do zaatakowania zasobów w sieci wewnętrznej.

Wszystkie wersje Snort , począwszy od wersji 1.8 wydanej w lipcu 2001, zawierają tę usterkę. 1.9.1 to nowa, wolna od tej usterki, wersja oprogramowania Snort, dostępna na stronie webowej Snort. Użytkownicy, którzy nie mogą na razie uaktualnić swojej instalacji Snort powinni wyłączyć preprocesor RPC.