Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 9140 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange alerts after IPS updates....

mdallagi
Hi all,

after the last ips patterns update released on friday 12th: 

Up2Date 7.165 package description:



RPM packages contained:

 u2d-ips-7.164-165.patch.rpm


I'm getting a lots (hundreds) of IPS alerts like this: 

Message........: DOS Microsoft Windows TCP SACK invalid range denial of service attempt

Details........: www.snort.org/.../sigs.cgi

Time...........: 2010:02:15-12:50:44

Packet dropped.: yes

Priority.......: 2 (medium)

Classification.: Attempted Denial of Service

IP protocol....: 6 (TCP)


I'm sure this is a false positive because this alerts is related to a well kown TCP traffic involving an external device to an internal DMZ server.
Again Astaro continues to give an invalid snort link as detail and however in this case, the sid=16408 is not defined in the snort rules (Snort seach)

Does anyone detect this strange behaviour?


This thread was automatically locked due to age.
Parents
  • 0
    This is a FP, will be fixed via pattern up2date.
  • 0 in reply to SvenW
    Hi all,

    today a new issue again...:-(
    We got this new IPS blocking message: 

    Details about the intrusion alert:

    

    Message........: EXPLOIT CVS Entry line flag remote heap overflow attempt

    Details........: www.snort.org/.../sigs.cgi

    Time...........: 2010:02:22-17:49:06

    Packet dropped.: no

    Priority.......: 1 (high)

    Classification.: Attempted Administrator Privilege Gain

    IP protocol....: 6 (TCP)


    also this time the snort URL link reported is wrong and so unuseful! But I can find it manually on the snort website looking for sid 16437...

    However for us this blocking rule is a false positive so I changed the action to "Alert" with notification,
    otherwise our remote cvs users are not able to work.
    Probably few people will see this issue because publishing cvs server is not so common but lately I notice that the false positive are increasing...
Reply
  • 0 in reply to SvenW
    Hi all,

    today a new issue again...:-(
    We got this new IPS blocking message: 

    Details about the intrusion alert:

    

    Message........: EXPLOIT CVS Entry line flag remote heap overflow attempt

    Details........: www.snort.org/.../sigs.cgi

    Time...........: 2010:02:22-17:49:06

    Packet dropped.: no

    Priority.......: 1 (high)

    Classification.: Attempted Administrator Privilege Gain

    IP protocol....: 6 (TCP)


    also this time the snort URL link reported is wrong and so unuseful! But I can find it manually on the snort website looking for sid 16437...

    However for us this blocking rule is a false positive so I changed the action to "Alert" with notification,
    otherwise our remote cvs users are not able to work.
    Probably few people will see this issue because publishing cvs server is not so common but lately I notice that the false positive are increasing...
Children
No Data