This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible faulty IPS/Snort update on 09 FEB about 12:34 UTC

I see in the German Forum that my customers weren't the only ones that experienced new false positives after this.

Did anyone else experience this?  The customers I had to help were on 7.510 or 7.511.

SID 12798 "SHELLCODE base64 x86 NOOP" (reported in the German Forum)
SID 15935 DNS responses from internal sources to internal sources
SID 17750 "DOS Microsoft IIS 7.5 client verify null pointer attempt"

And a bunch of SIDs concerning responses from web servers
4136, 5910, 6690, 6692, 6699, 6701, 11263, 12633, 12798, 16222, 16663 and 17543

Anyone else?  Are these new rules or newly turned-on rules because of a new threat or???

Cheers - Bob


This thread was automatically locked due to age.
Parents
  • Right now i am also getting flodded with SID #17483, is this also related to this bug or is it actually a positive match?

    "DNS squid proxy dns A record response denial of service attempt"

    Boring when we cant trust the system :/
  • Boring when we cant trust the system :/

    In my experience ASG is a very unstable product with a lot of bugs. After 10 months we have about 50 tickets with customer support and some of them repeats again and again with minor differences. We have installed many RPMs given by Astaro, sometimes we had to even replace kernel... but still we have a lot of unresolved cases.

    Feels like money has been just thrown away.
  • I can confirm this on 7.511. Thurs morning I started getting hundreds of alerts an hour for SIDs 1394, 12798, 12799 and 12802. Unchecking "Add Extra Warnings" on the Malware group slowed them down to a trickle. Now I'm just seeing the occasional 17750, though I haven't seen any alerts since this mornings IPS update to u2d-ips-7-237.i686.rpm.
  • We too, have been affected by the bad rules.   Apparently they released an update for version 8, that accidentally got applied to version 7.

    I just got off the phone with support, supposed a pattern update ending in 237 was released this morning.
  • We too, have been affected by the bad rules.   Apparently they released an update for version 8, that accidentally got applied to version 7.

    I just got off the phone with support, supposed a pattern update ending in 237 was released this morning.


    As I mentioned earlier, the issue was not limited to 7.5xx systems... the two systems I had with the issue were both 8.103 systems.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Reply
  • We too, have been affected by the bad rules.   Apparently they released an update for version 8, that accidentally got applied to version 7.

    I just got off the phone with support, supposed a pattern update ending in 237 was released this morning.


    As I mentioned earlier, the issue was not limited to 7.5xx systems... the two systems I had with the issue were both 8.103 systems.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Children
No Data