Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 5906 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS false positive alert: blocks Symantec AV defs.

Scott_Klassen
Rule ID 17297 SPECIFIC-THREATS McAfee VirusScan on-access scanner long unicode filename handling buffer overflow attempt.
 
This blocks Symantec Endpoint Protection Manager from retreiving updated definitions through Live Update for disseminating to client systems. This is a new rule delivered on Wednesday in u2d-ips-7-193.i686.rpm. I would venture a guess that this is a new "bad" rule.  If you use Symantec Endpoint Protection, you'll want to disable this rule.


This thread was automatically locked due to age.
Parents
  • 0
    I just noticed this today when I was checking our Norton AV server and noticed it hasn't updated since Oct. 12. Looked for it in the IPS logs and found it pretty quick. I was coming here to post about it and searched first instead. Norton AV Corp Edition 10.2 is what we are using. Same Snort Rule was blocking it, 17297.
Reply
  • 0
    I just noticed this today when I was checking our Norton AV server and noticed it hasn't updated since Oct. 12. Looked for it in the IPS logs and found it pretty quick. I was coming here to post about it and searched first instead. Norton AV Corp Edition 10.2 is what we are using. Same Snort Rule was blocking it, 17297.
Children
No Data