Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 5895 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS false positive alert: blocks Symantec AV defs.

Scott_Klassen
Rule ID 17297 SPECIFIC-THREATS McAfee VirusScan on-access scanner long unicode filename handling buffer overflow attempt.
 
This blocks Symantec Endpoint Protection Manager from retreiving updated definitions through Live Update for disseminating to client systems. This is a new rule delivered on Wednesday in u2d-ips-7-193.i686.rpm. I would venture a guess that this is a new "bad" rule.  If you use Symantec Endpoint Protection, you'll want to disable this rule.


This thread was automatically locked due to age.
Parents
  • 0
    I too have ESET antivirus, and the new rule 17297 prevents any antivirus updates.  Had to kill the whole Malware rule to get updates.
  • 0 in reply to c0pperhead
    Just to add some additional details re the ESET updates being blocked by the IPS. Here is my IPS log when a request for an ESET update is made.

    2010:10:17-10:03:33 tu****p snort[27879]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="SPECIFIC-THREATS McAfee VirusScan on-access scanner long unicode filename handling buffer overflow attempt" group="500" srcip="62.61.***.68" dstip="192.168.2.3" proto="6" srcport="80" dstport="51323" sid="17297" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

    When I shut off the IPS protection, updates work fine.

    Can I turn off this Snort/IPS rule to allow IPS to work while not using this one particular rule which is not working correctly or perhaps ESET's updates look just like a malicous program?

    Thanks.
Reply
  • 0 in reply to c0pperhead
    Just to add some additional details re the ESET updates being blocked by the IPS. Here is my IPS log when a request for an ESET update is made.

    2010:10:17-10:03:33 tu****p snort[27879]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="SPECIFIC-THREATS McAfee VirusScan on-access scanner long unicode filename handling buffer overflow attempt" group="500" srcip="62.61.***.68" dstip="192.168.2.3" proto="6" srcport="80" dstport="51323" sid="17297" class="Attempted Denial of Service" priority="2" generator="1" msgid="0"

    When I shut off the IPS protection, updates work fine.

    Can I turn off this Snort/IPS rule to allow IPS to work while not using this one particular rule which is not working correctly or perhaps ESET's updates look just like a malicous program?

    Thanks.
Children
No Data