Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2305 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ID 11669 False Positive or not?

Scott_Klassen
For the past week or so, been getting frequent alerts for SPECIFIC-THREATS Eudora 250 command response buffer overflow.
 
The rule is:
flow:established, to_client
content:"250"
pcre:"/^250.*[^\x20-\x7E\t\x0D\x0A]/sm"
classtype:attempted-user 
 
The alerts show that the messages which trigger the alert are flowing from my astaro box to my internal mail server which is not particularly helpful in finding the specific messages.  
 
Is this alert saying that somebody is sending messages to one of my users with a version of Eudora that is missing a patch?  Or is this a false positive that doesn't need to be worried about?  Anybody else been getting any of these recently?


This thread was automatically locked due to age.
Parents
  • 0
    same here on some asl/asg`s.
    Set rule to inaktive.
  • 0 in reply to synopex
    Hi synopex.

    Putting the rule to inactive just hide the notifications, but in the case of a real intrusion problem, this remedy will be worst than the illness itself. In that case, you will not even know whats happening, while your system is under attack without defense.

    Dont you agree?. 

    Anybody know an official answer from Astaro?

    Regards.
  • 0 in reply to Harley
    No matter how well someone tests an IPS rule, you will have instances where your particular setup triggers one falsely; this is something that happens with all types of IPS systems (don't let the marketing fool you).  In this case, I actually looked at the emails that were passing from the SMTP proxy to our Exchange server when the rule was being triggered; all were legitimate emails, and the traffic was legitimate.  This is simply a rule they should have not deployed (judging by the fact that every customer I monitor with an ASG had this exact problem).  If you are not running Eudora (the mail client this rule is targeted for), there is NO need for concern--just disable the rule.  Tuning an IPS is unfortunately a reality that can not be escaped, it does require attention.
  • 0 in reply to BrucekConvergent
    Thanks by your answer.

    Precisely, as we pay attention to our instalation, we are here discussing.

    I will deactivate that rule (only that!). But i dont feel happy with this action. I like to know how and why i do something, mainly when i am responsible of that.

    Again, thanks by your time.

    Harley
Reply
  • 0 in reply to BrucekConvergent
    Thanks by your answer.

    Precisely, as we pay attention to our instalation, we are here discussing.

    I will deactivate that rule (only that!). But i dont feel happy with this action. I like to know how and why i do something, mainly when i am responsible of that.

    Again, thanks by your time.

    Harley
Children
No Data