Компания Cisco опубликовала релиз Snort 2.9.11.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Основные новшества: Реализована гибкая система распределения памяти для препроцессоров, освобождающая неиспользуемую или недавно использованную память при необходимости и позволяющая обойтись без перезапуска Snort при изменении распределения памяти; Добавлена поддержка хранения имён файлов в Unicode для протокола SMB; Для определения и блокирования BitTorrent представлена система версионирования hostPortCache для неизвестных типов потоков в AppID; Улучшен разбор метаданых RTSP для определения RTSP-трафика через Windows Media; Увеличена производительность в ситуациях достижения лимита на интенсивность SYN-пакетов и начала блокировки превышающего лимит трафика; Для платформы FreeBSD реализована возможность использования unix-сокетов для передачи команд рабочим процессам и
Компания Cisco опубликовала новый значительный релиз Snort 2.9.9.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Основные новшества: Расширено число опций правил с которыми допустимо использование операции byte_math; В выражении byte_test добавлена поддержка операций bitmask и from_end; Добавлена утилита Buffer Dump для отслеживания использования всех буферов в процессе инспектирования в snort. Утилита собирается при указании опции "configure --enable-buffer-dump"; Добавлены новые предупреждения HTTP-препроцессора, позволяющие выявить запросы с указанием нескольких полей с размером контента и кодировкой контента (например, при подстановке фиктивных ответов провайдером); Реализовано определение SMTP-трафика, передаваемого поверх шифрованного канала связи (SMTPS).
Компания Cisco опубликовала новый значительный релиз Snort 2.9.8.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Основные новшества: Поддержка инспектирования файлов, передаваемых при помощи протоколов SMBv2/SMBv3; Средства профилирования производительности Lua-детекторов приложений (AppID); Новый скрипт для создания на языке Lua простых детекторов приложений для AppID; Новый вид предупреждений препроцессора, указывающих на выявление проброса SSH поверх HTTP; Новая директива конфигурации disable_replace для отключения опции замены правил; Новая настройка препроцессора Stream log_asymmetric_traffic для управления сброса логов через syslog; Добавлен AppID API для пакетов DNS; Проведена оптимизация потребления памяти; Возможность отправки активных ответов по протоколу UDP; В FTP-препроцессоре улучшены средства блокирования вредоносного ПО. Добавлена возможность
Компания Cisco анонсировала готовность для альфа-тестирования свободной системы предотвращения атак Snort 3.0, также известной как проект Snort++. Работа над Snort 3 начата в 2005 году, но была заброшена. Работы возобновились в 2013 году после перехода Snort в руки компании Cisco. Идеи по усовершенствованию, переосмысление концепции и архитектуры было невозможно вписать в текущую кодовую базу, что привело к созданию новой ветки. Особенности первого альфа-выпуска Snort 3.0: Поддержка многопоточной обработки пакетов, допускающей одновременное выполнение нескольких нитей с обработчиками пакетов; Организация совместного доступа разных обработчиков к общей конфигурации и таблице атрибутов; Использование упрощённой конфигурации с поддержкой скриптинга; Модульная система для подключения базовых компонентов в форме плагинов; Автоматическое определение работающих служб, избавляющее от необходимости ручного указания активных сетевых портов; Возможность привязки буферов в правилах (sticky buffers); Система
Компания Cisco опубликовала новый значительный релиз Snort 2.9.7.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. В новой версии добавлена поддержка технологии OpenAppID для разработки межсетевых экранов уровня приложений, позволяющих определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений. Добавленный в Snort препроцессор OpenAppID позволяет выявлять активность приложения в сети, накапливать статистику об использовании приложений и связанного с ними трафика, блокировать обращение к приложениям на основе правил доступа, создавать расширения для учёта параметров приложений в правилах Snort, сообщать название программы наряду с IPS-событиями в логах и отчётах Snort. Описания признаков использования протоколов или приложений производится на специальном языке, основанном на Lua. На сайте проекта
Компания Cisco представила новую открытую платформу для разработки межсетевых экранов уровня приложений - OpenAppID, позволяющую определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений. Открытие OpenAppID подтверждает обещание Cisco о намерении усилить участие в открытых проектах и сохранить налаженные каналы взаимодействия с сообществом после поглощения компании Sourcefire и получения контроля над свободными продуктами ClamAV и Snort. Основу OpenAppID составляет основанный на Lua язык и набор функций, предназначенные для описания признаков использования протоколов или приложений (в большинстве случаев определяется специфичный для приложения шаблон и описание в каком трафике его нужно искать). Язык даёт возможность создавать детекторы, которые на основании имеющихся правил сопоставляют трафик с идентификаторами приложений. Для создания и публикации детекторов проектом предоставляется набор инструментов. Для анализа трафика
Компания Cisco опубликовала новый значительный релиз Snort 2.9.6.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Основные новшества: Добавлена возможность захвата и сохранения файлов, передаваемых с использованием протоколов HTTP, FTP, SMTP, POP, IMAP и SMB; В препроцессоре DCERPC реализована поддержка специфичной обработки файлов, передаваемых через SMB; В используемой в правилах опции byte_test добавлена поддержка операторов ">=" и "
Увидел свет релиз SmoothSec 3.2, дистрибутива на пакетной базе Debian GNU/Linux 7 "Wheezy", предоставляющего полностью готовое и преднастроенное окружение для развёртывания систем обнаружения и предотвращения атак. В состав включены такие приложения, как Snorby, Snort, Suricata, PulledPork и Pigsty. Настройка первичной конфигурации автоматизирована и предельно упрощена, что позволяет создавать системы IDS/IPS даже начинающими администраторами. Сборки дистрибутива подготовлены для архитектур i386 (789 Мб) и amd64 (714 Мб). Кроме обновления версий компонентов дистрибутива (Snort 2.9.5.3, Suricata 1.4.5, MariaDB 5.5.32, Pigsty 0.1.5), в систему интегрирован Sagan HIDS (Host Instruction Detection System), позволяющий выявлять аномалии на уровне протокола ARP. В состав включена порция новых утилит: Arpwatch, tcpxtract, ngrep, nast, ipgrab, tshark, justniffer, python-impacket, python idstools, python tcpextract, greppcap.py, percona-toolkit‎ и percona-xtrabackup.
Компания Sourcefire, известная разработкой таких свободных проектов, как система обнаружения атак Snort, антивирусный пакет ClamAV и платформа для выявления угроз Razorback, сообщила о продаже бизнеса компании Cisco. В рамках заключённого соглашения Cisco выплатит владельцам Sourcefire по 76 долларов за акцию, что на 28.6% выше фактической стоимости акций на момент закрытия торгов в понедельник. Таким образом, в сумме размер сделки составит около 2.6 миллиарда долларов. Сделка уже одобрена советом директоров обеих компаний. После утверждения сделки регулирующими органами, Sourcefire войдёт в состав Cisco в форме нового подразделения. В планы Cisco входит комбинирование собственных продуктов и технологий с наработками Sourcefire по предотвращению, выявлению и блокированию атак. Отдельно отмечается, что смена владельца не повлияет на подход к разработке курируемых Sourcefire свободных проектов - компания Cisco заинтересована в их развитии не меньше, чем Sourcefire. Взгляд Cisco в позиционирование ClamAV и
В некоторых утилитах из состава пакета GNU Coreutils выявлены уязвимости, похожие на проблемы, недавно найденные в утилите GNU Grep. Как и в случае с grep, проблема проявляется при обработке входного потока с очень длинными строками (примерно 2 Гб для архитектуры x86_64). При обработке подобных строк наблюдается переполнение буфера при использовании "sort -d", "sort -M", "uniq" и "join -i". Проверить наличие уязвимости можно, например, такой командой "perl -e 'print "1","\\0"x50000000,"\\r\\n\\r\\n"' | uniq" (по аналогии вместо uniq можно подставить sort -d и т.п.). Проблемы пока устранены только в Factory-репозитории openSUSE, информации об исправлении в других дистрибутивах нет. Дополнение: Выяснилось, что проблема специфична openSUSE и не проявляется в базовом пакете coreutils. Уязвимость вызвана ошибкой в используемом в openSUSE патче coreutils-i18n.patch. Отдельно можно отметить несколько недавно выявленных уязвимостей: В одном из правил анализа трафика Snort (функция "rule20275eval()" из файла