This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible faulty IPS/Snort update on 09 FEB about 12:34 UTC

I see in the German Forum that my customers weren't the only ones that experienced new false positives after this.

Did anyone else experience this?  The customers I had to help were on 7.510 or 7.511.

SID 12798 "SHELLCODE base64 x86 NOOP" (reported in the German Forum)
SID 15935 DNS responses from internal sources to internal sources
SID 17750 "DOS Microsoft IIS 7.5 client verify null pointer attempt"

And a bunch of SIDs concerning responses from web servers
4136, 5910, 6690, 6692, 6699, 6701, 11263, 12633, 12798, 16222, 16663 and 17543

Anyone else?  Are these new rules or newly turned-on rules because of a new threat or???

Cheers - Bob


This thread was automatically locked due to age.
Parents
  • I see in the German Forum that my customers weren't the only ones that experienced new false positives after this.

    Did anyone else experience this?  The customers I had to help were on 7.510 or 7.511.

    SID 12798 "SHELLCODE base64 x86 NOOP" (reported in the German Forum)
    SID 15935 DNS responses from internal sources to internal sources
    SID 17750 "DOS Microsoft IIS 7.5 client verify null pointer attempt"

    And a bunch of SIDs concerning responses from web servers
    4136, 5910, 6690, 6692, 6699, 6701, 11263, 12633, 12798, 16222, 16663 and 17543

    Anyone else?  Are these new rules or newly turned-on rules because of a new threat or???

    Cheers - Bob


    I had 2 customers out of about 40 report this issue.  Astaro Support confirmed that there was a bad IPS Pattern up2date issued Thurdsday, about 10:00AM EST.  The workaround was to disable the rules affected until a new up2date was released.  I got contacted by Astaro Support this AM stating that a patched IPS Pattern up2date was released on Friday, around noon EST.  I have not logged back into the "troubled" system since I got this information, so I can't say if the patterns are truly fixed or not yet.  FWIW, the only systems that reported an issue were 8.103 systems -- although I had other customers still on 8.103 (and probably one still on 7.5xx), most of our managed customer base is on 8.300... can't say there's any common "thread" to which ones were affected and which ones weren't.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Reply
  • I see in the German Forum that my customers weren't the only ones that experienced new false positives after this.

    Did anyone else experience this?  The customers I had to help were on 7.510 or 7.511.

    SID 12798 "SHELLCODE base64 x86 NOOP" (reported in the German Forum)
    SID 15935 DNS responses from internal sources to internal sources
    SID 17750 "DOS Microsoft IIS 7.5 client verify null pointer attempt"

    And a bunch of SIDs concerning responses from web servers
    4136, 5910, 6690, 6692, 6699, 6701, 11263, 12633, 12798, 16222, 16663 and 17543

    Anyone else?  Are these new rules or newly turned-on rules because of a new threat or???

    Cheers - Bob


    I had 2 customers out of about 40 report this issue.  Astaro Support confirmed that there was a bad IPS Pattern up2date issued Thurdsday, about 10:00AM EST.  The workaround was to disable the rules affected until a new up2date was released.  I got contacted by Astaro Support this AM stating that a patched IPS Pattern up2date was released on Friday, around noon EST.  I have not logged back into the "troubled" system since I got this information, so I can't say if the patterns are truly fixed or not yet.  FWIW, the only systems that reported an issue were 8.103 systems -- although I had other customers still on 8.103 (and probably one still on 7.5xx), most of our managed customer base is on 8.300... can't say there's any common "thread" to which ones were affected and which ones weren't.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Children
No Data