This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Meldung zu IE bei Nutzung von Firefox

Hallo Community, ich benötige bitte mal eure Hilfe.

Ich bekomme in letzter Zeit häufiger die nachfolgende Meldung bei der Nutzung der Streaming Plattform "radio.de".

Als Browser setzen wir komplett Firefox 63 ein.

Die IPS Meldung und der Verweis aus Snort spricht aber von Internet Explorer....?

Kann sich jemand darauf einen Reim machen?

 

Message........: BROWSER-IE Microsoft Internet Explorer CTravelEntry use after free attempt

Details........: https://www.snort.org/search?query=47151

Time...........: 2018-11-06 15:03:57

Packet dropped.: yes

Priority.......: high

Classification.: Attempted User Privilege Gain IP protocol....: 6 (TCP)

Source IP address: 81.17.208.200 (Radio.de lt. "Who is")

Source port: 80 (http)

Destination IP address: xxx.xx.xxx.xxx (my.domain.local) Destination port: 52493

System Load        : 0.43

System Version     : Sophos UTM 9.510-5

 

Gedropped wird das Packet - aber kann ich das irgendwie abstellen (ausser "Radio.de" blocken)?

Danke.



This thread was automatically locked due to age.
  • Hallo LilOne,

    ich habe diese Meldung auch bei einer Installation, auf dem Rechner ist allerdings kein Firefox.
    Die Ursache ist mir noch nicht klar, aber um Deine Frage zu beantworten: Die Regel bzw. Meldungen hierzu könnte man hier abschalten.

     

    Die RuleID sollte man dem IPS log entnehmen können oder laut Sophos unter https://lists.astaro.com/ASGV9-IPS-rules.html ermitteln.
    Dürfte allerdings auch mit Deinem Report übereinstimmen, demnach die 47151

    Beste Grüße

    Alex

    /*Edit*/

    -

  • I dunno, Alex - don't you think he'd be better off with an Exception for a DNS Host for radio.de?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Bob, Du hast natürlich recht, damit wäre die Ausnahme viel granularer und nicht so global, indem man die Benachrichtigung oder gar die Regel abschaltet. Guter Einwand also.

    Was mir leider noch nicht klar ist, warum diese Snort Regel hier greift bzw getriggert wird, laut Datenbank gibt es dazu auch keine false positives. Ich kann das Problem bei mir leider nicht nachstellen, wäre mir aber auch nicht sicher ob auf der Seite ggf. Schadsoftware läuft.

    Vielleicht hat jemand hier noch Erkenntnisse zu dem Thema.

    Alex

    -