9.208 BUG: Various IPS *** Caught Term-Signal

A new IPSbundle update reached me right now: 9.169 with Pattern version 70490. Maybe that helps? Ill try that later.

But strange enough the live log tells me snort has been exited - but WebAdmins traffic light is green (the slider)

Quote from Support this afternoon:

I just wanted to update you that a new pattern has been released today which should resolve this issue.

I called in today (about an hour ago) and was told this...

Sophos released a bad file on Monday morning.  As with you guys - on Monday morning, my users starting having trouble with our web based ticketing system.  

We have been fighting all week to fix it.  Even turning off IPS didn't really resolve it for us.  

Today - support admitted to the issue and told me to add an exception to IPS to disable all IPS functions headed to the internal IP of the webserver.

This sounds great and all... but my testing earlier this week included this, as well as NATs around all that protection.  I think they broke more than they think they did.

The kicker - IT DOESN'T SHOW UP IN LOGS.  This... unfortunately, was also told to me by support.

I spent countless hours of my own, as well as near 24 hours of consultant time on this issue.  We are still having intermittent issues.  I am not convinced their new updates have fixed it.

-Jim

I can confirm that we still had very problematic IPS network performance issues that started at ~11/17/2014 4 pm EST and still persist through 11/21/2014.

I've had a case open with Sophos support since Thurs and called to check on it today.  Here's the response:

"We are currently experiencing a few issues with the IPS system; apologies for any inconvenience you may have experienced. 

Global Escalations / Development have been alerted and are currently working on a solution to the issues. For now, please disable IPS or implement exceptions to allow traffic in your environment to flow normally. Please let us know if you require assistance with implementing exceptions."

Nothing really new here.  I guess we continue with the waiting game.

Dave

Same here, had to disable IPS. Also went into Up2Date and set everything to manual for now. Not sure how to handle update testing in the future though?

You can't really test these updates.  They are released silently with a check like every 15 minutes.  These updates are similar to how an antivirus scanner gets its virus definitions and need to run almost real time to keep up with constant threats.

For better or worse, you kind of have to trust Sophos that they are testing these releases.  In a year of ownership, this is the first silent update I have received that has caused trouble like this.

-Jim

I had put in IPS exceptions for traffic going to my webservers that fixed the problems... but now even that has failed as of 2pm today.  The issue started back up.  I have since turned off IPS and its all back to normal.

Issues are easy to recreate for me....  Hit "submit ticket" on my site, freeze.  Turn off IPS, hit "submit ticket" - straight through to next screen.

As of this afternoon, users couldn't even save files over the network to the share drives.  I had to turn off IPS on both ends to get that working.

-Jim

same for us, our ASG220 seems immune at this this time but our ASG425 is def affected.

and as with folks here Support confirmed the ASG425 issue and are awaiting dev dropping and updated pattern file
I have pattern 70904 on both boxes..

Interesting - I have one box thats still on pattern 70406 and its less effected.  My bad box is on 70910 and going nuts. 

Turned manual updates on the working box until resolution.

-Jim