Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 80 replies
  • Subscribers 2 subscribers
  • Views 391275 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UPDATE - IPS Pattern Update fixed

dschmidl
Hi Everyone,

We have tested that the new IPS patterns on the Up2Date server are fixed and working.

If your system is affected there are two ways to get the updated and fixed patterns:

1) WebAdmin (the preferred way)

- login to WebAdmin via https://YOUR_ASG_IP:4444
- go to left menu item “Network Security”
- go to sub menu item “Intrusion Prevention”
- disable the IPS system (if not already done)
- go to the last tab “Advanced”
- click on the green “+” sign under “Modified rules”
- enter under “Rule ID”: 15851 and check “Disable this rule”
- click “Save”
- click again on the green “+” sign under “Modified rules”
- enter under “Rule ID”: 16576 and check “Disable this rule”
- click “Save”
-     go back to the first tab and activate the IPS system again

This will fix the problem and install the new IPS pattern. 

PLEASE NOTE: Depending on the speed and workload of your ASG it can take a minute!

 
2. Command line (only for experienced users)
-     login via SSH or local on console
-     become "root"
-     enter "echo 1 > /proc/net/nf_condition/ips"

That's all and will do the following: 

*     it will bypass completely the IPS system on lowest level (ASG is online then), independent if IPS is activated or deactivated on WebAdmin

*     the new IPS pattern will be fetched and installed

*     the next IPS pattern update we will provide later today will remove this bypass automatically and the ASG works like configured (with new pattern)


If your ASG uses ACC as an Up2Date cache: do the same above for these ASGs if there are affected. There is no todo on ACC.


If your ASG is not and was not affected, because IPS was turned off last 8 hours or not online and therefore didn't fetched the corrupt pattern then there is no action needed. The old, corrupt patterns are removed from the Up2Date server. It is safe the activate IPS now and set the ASG online again to fetch IPS pattern.


We are very sorry for this inconvenience.

Best regards,

Dominic Schmidl


This thread was automatically locked due to age.
  • 0
    Thanks Bruce for the clarification.
     
    NLogan: Yes, you will need to have the IPS turned on to get the correct pattern updates. Astaro only updates patterns for features that are enabled. The pattern that fixes both the IPS and AV issues appears to be 12410.
     
    MEINZJO:  These are somewhat tricky questions.  In regards to AV updates, every single AV vendor out there has, upon occasion, released bad definitions.  I've seen it from every major vendor, such as Trend, McAfee, Sophos, and Symantec.  McAfee had a particularly nasty one a couple of weeks ago.  This is mostly due to the fact that definitions are written by humans and humans will always be fallible.  In regards to both AV and Snort IPS rules and testing.  It's a very fine line that's constantly moving.  Most updates are created to protect against 0-day or even 0-hour exploits.  If a vendor takes too long to do very comprehensive testing before release, many of their customers may have already gotten infected/compromized by the time that the definition set is released.  I'm not particularly thrilled with the double whammy from this morning, but it can and will continue to happen.  Just so long as it's a rare event.
  • 0 in reply to JonEtkins
    If you read a few lines further in the post you quoted, you'll find

    * the next IPS pattern update we will provide later today will remove this bypass automatically and the ASG works like configured (with new pattern)



    I read the entire post. I'm not confident the text you quoted applies to both work-around procedures, 1 & 2.

    I want confirmation about the "low level" /proc change because of the following:

    CRITICAL: Astaro stopped working ! Disable Intrusion Protection !

    Please do NOT deactivate IPS, because then the new IPS rules will not be fetched and installed.
  • 0
    Hi,
    ISTM that Astaro needs to put some more fail-safes into ASG; in fact it should be user-configurable:
    User Option for fail-safe - if IPS dies:
    1. fail open
    2. fail closed (offline)

    Bruce suggested that an email also be sent.

    I hope GeoIP in v8 will have fail-safes too.

    Thanks,
    Barry
  • 0
    Your fix worked great for me. Thanks.
  • 0
    I can answer a few questions.. I'm sorry, I would have posted here sooner, but I have been focused elsewhere today. 
    First off, how to tell if the IPS pattern is installed:
    The global pattern version number will have been raised by clam and avira patterns that were released after the fixed IPS pattern, so the global pattern version can't be used to tell if you have the updated patterns or not. What you are looking for, is IPS pattern version 7.173. If this is installed, then your system is fixed. You can find this in the up2date log. From the shell, you can check todays logs quickly, with the following command:
    cat /var/log/up2date.log |grep '7.173| grep 'package="ips"''


    That should return a log something like this:
    2010:05:07-05:54:17 wilmington auisys[12235]: id="371Z" severity="info" sys="system" sub="up2date" name="Successfully installed Up2Date package" status="success" action="install" package_version="7.173" package="ips"


    If you see that, then your system has installed the latest IPS pattern.

    As for how this happened, Jan covered it better than I could. please see his post for the dirty details. In short though, the build server was recently upgraded to support the upcoming v8 release, but was put into production too soon. There were problems that allowed a pattern to be released without being thoroughly tested on every product version.  From what I've seen, the new build server is pretty spectacular, and way more capable than our previous system. I don't believe this was a fault in its capabilities.

    Regarding the up2date servers, they are all functional. If a system can't contact one server, then it will just move down the list and use another update server. The errors reported in the listed thread are not critical failures.
  • 0
    Using Astaro V8 beta, I logged on to the console but there is no
    /proc/net/nf_condition/ips. Only a /proc/net/nf_condition/snort-takeover when ips is enabled.
    Therefore I did the workaround via the web interface, and that got me the update.
    But after restart same problems, I still have to completly disable ips to get thing running.
    Updated the Astaro 7th of may at 23:00
  • 0
    To Astaro:

    I have two identical servers for my Astaro ASG, the main and the backup, with the main one, im carriying practically the whole output to the outside world (SMTP, HTTP, FTP, NTP, VPN) while the backup is just to use in case of hard failure of the main one. It is keeped sleeping but active, receiving the same up2date. Early in the morning today, i found myself blind. 

    When we detected the problem, my first idea was about router failure, but i checked with a laptop outside the proxy, and i was surprised founding the channel active. Inmediatly red the post indicating to deactivate the IPS as momentary solution, and did that in the both machines. The main one, simply lost their internal network, and the backup survived the process. I interchanged the machines and recovered my way to the external world. Just changed the IPs of the externals and internals cards and go on.

    Now, i have the dead machine, i can open it by console (where i changed the ips manually). I can see the external interface working, the ping against external router works, but to the internal network i have nothing, is closed. All the information remain in the HD.

    There are some linux procedure to recover my machine without reinstalling it?. I have some skills in Linux like to act directly on console.

    How i can to check the status of my ASG in console when i lost the access to the web management?. I consider Astaro a great solution at user level, but some times like now i need to take control more closely about whats is going on. Thats is more proffessional. And im not the unique.

    My license ID is 95129.

    Wating your answer. 

    Harley
  • 0 in reply to Robin
    Using Astaro V8 beta, I logged on to the console but there is no
    /proc/net/nf_condition/ips.
    That's correct.  The touch command creates a null file with that name, and presumably the IPS subsystem checks for the presence of that file and disables itself if it's found.
  • 0 in reply to Harley
    I've got two client ASG's one that is still sitting on Pattern 12406 and the other on 12409. The are running identical services.

    When I try to reinstate the IPS rules on the one running patter 12406 it still has the same initial issue. I've tried doing a manual update but it wont fetch any new pattens. It still has internet access with the two bad rules excluded.

    What's going on with the updates, why aren't these two ASG's downloading the new updates?

    Is there an FTP site to grab them manually and update the ASG from the console?

    This is really a big mess now I've got 3 other clients that are going to drop Astaro.....not only bad for Astaro, but I need to admin another firewall. Thanks Astaro, sort your updates out and please don't EVER make this mistake again.