Possible faulty IPS/Snort update on 09 FEB about 12:34 UTC

I see in the German Forum that my customers weren't the only ones that experienced new false positives after this.

Did anyone else experience this?  The customers I had to help were on 7.510 or 7.511.

SID 12798 "SHELLCODE base64 x86 NOOP" (reported in the German Forum)
SID 15935 DNS responses from internal sources to internal sources
SID 17750 "DOS Microsoft IIS 7.5 client verify null pointer attempt"

And a bunch of SIDs concerning responses from web servers
4136, 5910, 6690, 6692, 6699, 6701, 11263, 12633, 12798, 16222, 16663 and 17543

Anyone else?  Are these new rules or newly turned-on rules because of a new threat or???

Cheers - Bob

I had 2 customers out of about 40 report this issue.  Astaro Support confirmed that there was a bad IPS Pattern up2date issued Thurdsday, about 10:00AM EST.  The workaround was to disable the rules affected until a new up2date was released.  I got contacted by Astaro Support this AM stating that a patched IPS Pattern up2date was released on Friday, around noon EST.  I have not logged back into the "troubled" system since I got this information, so I can't say if the patterns are truly fixed or not yet.  FWIW, the only systems that reported an issue were 8.103 systems -- although I had other customers still on 8.103 (and probably one still on 7.5xx), most of our managed customer base is on 8.300... can't say there's any common "thread" to which ones were affected and which ones weren't.

I see in the German Forum that my customers weren't the only ones that experienced new false positives after this.

Did anyone else experience this?  The customers I had to help were on 7.510 or 7.511.

SID 12798 "SHELLCODE base64 x86 NOOP" (reported in the German Forum)
SID 15935 DNS responses from internal sources to internal sources
SID 17750 "DOS Microsoft IIS 7.5 client verify null pointer attempt"

And a bunch of SIDs concerning responses from web servers
4136, 5910, 6690, 6692, 6699, 6701, 11263, 12633, 12798, 16222, 16663 and 17543

Anyone else?  Are these new rules or newly turned-on rules because of a new threat or???

Cheers - Bob

I had 2 customers out of about 40 report this issue.  Astaro Support confirmed that there was a bad IPS Pattern up2date issued Thurdsday, about 10:00AM EST.  The workaround was to disable the rules affected until a new up2date was released.  I got contacted by Astaro Support this AM stating that a patched IPS Pattern up2date was released on Friday, around noon EST.  I have not logged back into the "troubled" system since I got this information, so I can't say if the patterns are truly fixed or not yet.  FWIW, the only systems that reported an issue were 8.103 systems -- although I had other customers still on 8.103 (and probably one still on 7.5xx), most of our managed customer base is on 8.300... can't say there's any common "thread" to which ones were affected and which ones weren't.