Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 80 replies
  • Subscribers 2 subscribers
  • Views 391249 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UPDATE - IPS Pattern Update fixed

dschmidl
Hi Everyone,

We have tested that the new IPS patterns on the Up2Date server are fixed and working.

If your system is affected there are two ways to get the updated and fixed patterns:

1) WebAdmin (the preferred way)

- login to WebAdmin via https://YOUR_ASG_IP:4444
- go to left menu item “Network Security”
- go to sub menu item “Intrusion Prevention”
- disable the IPS system (if not already done)
- go to the last tab “Advanced”
- click on the green “+” sign under “Modified rules”
- enter under “Rule ID”: 15851 and check “Disable this rule”
- click “Save”
- click again on the green “+” sign under “Modified rules”
- enter under “Rule ID”: 16576 and check “Disable this rule”
- click “Save”
-     go back to the first tab and activate the IPS system again

This will fix the problem and install the new IPS pattern. 

PLEASE NOTE: Depending on the speed and workload of your ASG it can take a minute!

 
2. Command line (only for experienced users)
-     login via SSH or local on console
-     become "root"
-     enter "echo 1 > /proc/net/nf_condition/ips"

That's all and will do the following: 

*     it will bypass completely the IPS system on lowest level (ASG is online then), independent if IPS is activated or deactivated on WebAdmin

*     the new IPS pattern will be fetched and installed

*     the next IPS pattern update we will provide later today will remove this bypass automatically and the ASG works like configured (with new pattern)


If your ASG uses ACC as an Up2Date cache: do the same above for these ASGs if there are affected. There is no todo on ACC.


If your ASG is not and was not affected, because IPS was turned off last 8 hours or not online and therefore didn't fetched the corrupt pattern then there is no action needed. The old, corrupt patterns are removed from the Up2Date server. It is safe the activate IPS now and set the ASG online again to fetch IPS pattern.


We are very sorry for this inconvenience.

Best regards,

Dominic Schmidl


This thread was automatically locked due to age.
  • 0
    I'm stuck on Pattern 12406 here... I've tested everything posted here to get the astaro fetching new patterns... nothing works so far.

    without proxy everything is fine, with web proxy nothing works...

    [FONT=monospace]httpproxy[7455]: [ (nil)] disk_cache_zap (diskcache.c:431) creating cache [/FONT]
     [FONT=monospace]httpproxy[7455]: [ (nil)] disk_cache_zap (diskcache.c:451) rename: Directory not  empty [/FONT]
  • 0 in reply to Widde
    How do I fix this remotely?

    Please don't tell me I have to phone each office and walk an already irate user through the process.

    Tom
  • 0
    Is there a way to check if my IPS patterns are up2date now and if it is safe to remove the bypass rules?

    I know i have pattern 12410 installed (dashboard says so) but that was when I had the IPS turned off and everywhere I read about this it says that it will not be updated if turned off.

    Now that I turned it back on with the exception rules I don't know when I can remove them again.
  • 0 in reply to ThomasBall
    How do I fix this remotely?

    Please don't tell me I have to phone each office and walk an already irate user through the process.

    Tom


    if you don't want to hear it, then probably noone can tell you anything.
  • 0
    Hoo-boy, people are walking around with egg on their face today.

    If it's not bad enough that a buggy update like this got out after already having caused problems for v8 beta testers, the complete inability to reach any of the Astaro support resources - presumably because they eat their own food and were similarly off the air - is totally unacceptable from a professional security outfit.

    I'm a free Home License user, and I'm merely peeved; anyone with a paid license and support contract would be justifiably fuming right now.
  • 0
    Applied the following to one of the astaro firewalls

    $  echo 1 > /proc/net/nf_condition/ips

    Now, that I have access back into the server via web admin, how should I reverse the /proc  setting?  I've since disabled the problematic rules via web admin.
  • 0
    I am just glad I still had my trusty Squid box hooked up. I just had some angry higher ups that I had to explain "yeah you know that security device we spent thousands on, it was the problem." 

    I can't even imagine the headaches of those who have ASGs deployed out in the field and could not remote into them.
  • 0 in reply to barkas
    I had lots of fun today fixing about 20 ASGs of various customers ...


    I feel your pain.. my staff had more than that to handle... they do need to get a handle on this;  not the first time for bad patterns... granted, it seems just about all product vendors that use patterns and regular updates have had issues from time to time -- but we need to do better!
  • 0 in reply to BrucekConvergent
    Bruce, can you comment on post #37 above?
  • 0 in reply to Krycek
    Is there a way to check if my IPS patterns are up2date now and if it is safe to remove the bypass rules?

    I know i have pattern 12410 installed (dashboard says so) but that was when I had the IPS turned off and everywhere I read about this it says that it will not be updated if turned off.

    Now that I turned it back on with the exception rules I don't know when I can remove them again.


    I'm in the same boat here. I disabled IPS this morning after I figured out what was going on, but now I'm on pattern version 12410. Can someone confirm at what pattern version everything is actually working correctly? Did I get IPS pattern updates with IPS disabled...? I have all my customers' IPS disabled at the moment and I don't want to deal with installing more bad updates today; they are already understandably PO'd (as am I).