Plus d'update snort?

[ahlala]

Bonjour

IPCOP v 1.4.21
oink code OK donc règles VRT sourcefire pour users enregistrés

Celà fait quelques semaines je n'ai plus de MAJ pour snort comme avant. Je vérifie sur snort.org et je vois passer plein de MAJ depuis un bout de temps.... serai-je puni?

Je me log sur mon ipcop:
-->Services -->IDS -->Actualiser : 2009-02-02 10:12:57
-->Telecharger de nouvelles règles : 2009-02..;etc.
-->Appliquer maintenant...... çà mouline

Le résultat tout à 0, aucune modif, rien de changé, alors que d'habitude, il me liste tous les changements qu'il à fait.. et comme je vérifie mes MAJ toutes les 2 semaines, je suis habitué...
L'uptime de cette machine est de 1 an... donc y a truc qui colle pas.
Pour infos il y a 8 ipcop identiques avec exactement la mm config depuis donc 1 an sur 8 sites distants..mm pb partout...

J'ai googlé, j'ai bien vu des pbs en version 1.4.15, mais moi j'ai installé en 1.4.18 et upgradé au fur et à mesure.

Une idée? merci pour l'aide

[alomamabobo]

SI le bug est depuis 2009 ET que l'addon guardian est installé il peut y avoir des problèmes de mise à jour des règles dus à l'ajout de guardian, j'avais vu un post à ce sujet sur le site mhaddons: voir le site de l'éditeur de cet addon.

Bonne continuation.

[ahlala]

L'erreur n'est pas depuis 2009, elle existait déjà depuis octobre/novembre 2008.
Guardian n'est pas installé, il y a en revanche squidguard et cet addon est présent depuis l'installation initiale (janvier/février 2008).
J'ai bien cherché si il y avait des pbs addons/config de base ipcop (j'avais essuyé des plâtres bien connus de tous lors d'upgrade des précédents ipcop) mais rien...

J'ai vu traîner des choses sur des pbs de droits mais qui ne concernaient que IPCOP 1.4.15, or j'ai démarré ces déploiements directement en 1.4.18.

Merci pour votre aide

[PengouinPdt]

Ce problème m'intéresse ...
J'ai remarqué la même chose sur mon IPCop (1.4.21), et le seul addon que j'y ai foutu est BOT (v 3.0.0 build 3).
Ca me parait tout autant bizarre !

+=<

[ahlala]

Oui étrange n'est-ce pas?

BOT est installé aussi mais non utilisé, mais pareil depuis 2008, et jamais de conflit.

Je n'arrive pas à percuter ce qui a pu se passer, à moins que le Team de snort ait changé des choses? J'ai regardé, je n'ai pas trouvé d'éléments significatifs abondant en ce sens, mais j'ai peut-être mal regardé?

[Gesp]

Je pense qu'il faut que j'upgrade la version de snort et modifie la source des règles en conséquence pour correspondre à la nouvelle version. La version que l'on utilise actuellement commence à dater.

[Fernand_G]

Bonjour, Bonsoir,

J'ai aussi remarqué que je n'avais plus de mise à jour snort depuis pas mal de temps sur l'ensemble de tous les IPCop que je gère (6).

Dans l'historique des règles, j'ai l'impression d'être toujours à un total de 11881 (all IPCop). J'attends la prochaine mise à jour de la team pour vérifier. La dernière datant du 03/02/2009.

Pour tester, j'ai même monté vite fait un IPCop virtuel, à partir d'une version 1.4.20. J'ai mis à jour snort avec le téléchargement des nouvelles règles et je me retrouve aussi à 11881.

J'ai l'impression qu'il download toujours les mêmes règles et par conséquent rejoint le message de Gesp, la source des règles a été modifiée ?!?

Bonne soirée.

[PengouinPdt]

Je pense qu'il faut que j'upgrade la version de snort et modifie la source des règles en conséquence pour correspondre à la nouvelle version. La version que l'on utilise actuellement commence à dater.

Déjà, on sait qu'on a attirer l'attention du "Grand Maître" :p
C'est appréciable

[psykoside]

Bonsoir a tout le monde,

j'ai egalement ce probleme sur mon firewall ipcop 1.4.21.

J'ai BOT installé mais je ne l'utilise pas encore.

Je surveillle le sujet

"Grand maitre" on t'attend (est par ailleur merci pour ce superbe taf !!!)

A bientôt

[ahlala]

A Gesp et à tous,

J'ai tenté les modifs en changeant les droits et permissions sur le /etc/snort et /etc/snort/rules, comme préconisé dans le post relatif à la 1.4.15, histoire de voir, même si on nos versions sont plus récentes, rien n'y a fait

[Fernand_G]

Bonjour à tous,

Je viens de vérifier avec la nouvelle mise à jour de Snort mise en ligne hier. Aucune mise à jour d'IPCop. Le nombre de règles reste à un total de 11881.

Processing downloaded rules... disabled 0 enabled 0 modified 0 total=11881


Bonne journée.

[profwalken]

Bonjour à tous,

Ipcop installé hier , tout neuf en 1.4.21 et juste url filter et advproxy.

Je viens de vérifier avec la nouvelle mise à jour de Snort mise en ligne hier. Aucune mise à jour d'IPCop. Le nombre de règles reste à un total de 11881.

Processing downloaded rules... disabled 0 enabled 0 modified 0 total=11881

Même situation après la demande de mise à jour.

[ahlala]

De mon côté toujours aucune news, j'ai réessayé des updates mais rien de rien.

Celà devient un problème "bloquant".

Comment pouvons-nous garantir l'efficacité et la sécurité d'un SI et de notre distro avec ce genre de bugs?

Cette remarque n'est pas un troll.

Je pense que nous devons trouver une solution rapidement afin de garantir notre crédibilité.

A bientôt

[PengouinPdt]

Apparemment le fonctionnement de Snort change, il intégre un nouveau préprocesseur donc les règles Snort sont modifiées, elles aussi ...

Ci-dessous, le mail d'info reçu :

(...) we wanted to ensure that you were aware of some important upcoming changes in Snort and Sourcefire VRT rules. Scheduled for release in late March 2009, Snort 2.8.4 will introduce a new dcerpc preprocessor (dcerpc2). This new preprocessor will bring about some major changes in the way that NetBIOS traffic is handled.



Dcerpc2 will handle all the decoding functions that were previously managed using rules and flowbits. The improvement provided by dcerpc2 is that the number of netbios rules released for any vulnerability that can be exploited over dcerpc is going to be reduced greatly. The number of netbios rules previously released is also going to be reduced in a similar manner. The downside is that this functionality is only available in Snort 2.8.4 with the dcerpc2 preprocessor. There is no backwards compatibility. Also, a number of netbios rules will be deleted and replaced.



In order for Snort users to keep up with current detection, upgrading Snort is the only option. A release candidate (RC) version of Snort 2.8.4 was released on February 10, 2009. The RC period will give you a preview of what is going to happen with the rules and provide an opportunity for you to plan an upgrade of your existing Snort implementation. For the RC period, the VRT has provided a replacement netbios.rules file to be used in place of the existing netbios.rules. For more details on this file or how to use it please visit the VRT blog at: http://vrt-sourcefire.blogspot.com/2009 ... lable.html. Once Snort 2.8.4 is released, this file will become the new netbios.rules.



It is very important to note that the dcerpc2 preprocessor will have to be used in order for detection to function using these rules. The old preprocessor will be completely deprecated, all new rules moving forward will use the new preprocessor and the keywords it provides.



In order to stay current with detection, you will have to upgrade to Snort 2.8.4 once it is released and use the dcerpce2 preprocessor. The Sourcefire VRT will not be maintaining the old rules from the netbios category and the VRT will not release any new detection using the old format.



Mike Guiterman

Snort Community Manager

Sourcefire, Inc.

Cela a-t-il une incidence ?!

+=<

[Zone80]

Bonsoir

Je ne pense pas qu'il s'agisse d'un bogue mais simplement de la version employée de snort qui est 2.6.

Peut-être que les dev estiment que la version 2.6 est trop ancienne et décident de ne plus suivre cette version. La vérification faite avec le Oink Code semble ne plus s'effectuer de la même façon.

Gesp explique le problème en date du 09/02.