CRITICAL: Astaro stopped working ! Disable Intrusion Protection !

This came at the moment form the support to us:
******

Dear Customer,


At the moment, we experience problems with two IPS patterns that were uploaded to
our gateways last night.

Status update and instructions how to fix it:

- a new, fixed  IPS pattern version is on all Up2Date servers

- currently we see that the affected machines are not able to fetch this new IPS
pattern update

- please fix the issue by login the WebAdmin via https://YOUR_ASG_IP:4444

- go to left menu item “Network Security”

- go to sub menu item “Intrusion Prevention”

- go to the last tab “Advanced”

- click on the green “+” sign under “Modified rules”

- enter under “Rule ID”: 15851 and check “Disable this rule”

- click “Save”

- click again on the green “+” sign under “Modified rules”

- enter under “Rule ID”: 16576 and check “Disable this rule”

- click “Save”


This will remove the broken rules but IPS is still activated.

The new pattern update will be installed within minutes.

Please do NOT deactivate IPS, because then the new IPS rules will not be fetched
and installed.

I would strongly recommend Astaro to implement some automated tests on new AV and IPS patterns. You can't eliminate every small flaw automatically but it should be no problem to automatically detect such disastrous results.

Regards,
Bastian

P.S. I wouldn't have said this as long as only beta testers experience such an error from time to time (like yesterday), but today every standard/paying customer is hit by quite a similar error.

We have tested that the new IPS patterns on the Up2Date server are fixed and working.

If your system is affected there are two ways to get the updated and fixed patterns:

1) WebAdmin (the preferred way)

- login to WebAdmin via https://YOUR_ASG_IP:4444
- go to left menu item “Network Security”
- go to sub menu item “Intrusion Prevention”
- disable the IPS system (if not already done)
- go to the last tab “Advanced”
- click on the green “+” sign under “Modified rules”
- enter under “Rule ID”: 15851 and check “Disable this rule”
- click “Save”
- click again on the green “+” sign under “Modified rules”
- enter under “Rule ID”: 16576 and check “Disable this rule”
- click “Save”
-     go back to the first tab and activate the IPS system again

This will fix the problem and install the new IPS pattern. 

PLEASE NOTE: Depending on the speed and workload of your ASG it can take a minute!

 
2. Command line (only for experienced users)
-     login via SSH or local on console
-     become "root"
-     enter "echo 1 > /proc/net/nf_condition/ips"

That's all and will do the following: 
*     it will bypass completely the IPS system on lowest level (ASG is online then), independent if IPS is activated or deactivated on WebAdmin
*     the new IPS pattern will be fetched and installed
*     the next IPS pattern update we will provide later today will remove this bypass automatically and the ASG works like configured (with new pattern)


If your ASG uses ACC as an Up2Date cache: do the same above for these ASGs if there are affected. There is no todo on ACC.


If your ASG is not and was not affected, because IPS was turned off last 8 hours or not online and therefore didn't fetched the corrupt pattern then there is no action needed. The old, corrupt patterns are removed from the Up2Date server. It is safe the activate IPS now and set the ASG online again to fetch IPS pattern.

Please follow this thread:

https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39675