После шести месяцев разработки компания Cisco опубликовала (https://blog.snort.org/2019/04/snort-29130-has-been-released...) релиз Snort 2.9.13.0 (http://www.snort.org/), свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий.
Основные новшества:
- Добавлена поддержка перезагрузки правил после их обновления;
- Реализован сценарий добавления пакета в чёрный список с гарантией, что новый сеанс будет разрешён;
- Обеспечена обработка нового предупреждения препроцессора о некорректном окончании заголовка HTTP;- Изменено вычисление хэша файла, передаваемого через FTP/HTTP с указанием смещения;
- Устранена проблема с зависанием соединений с запросом аутентификации в наполовину закрытом состоянии;
- Изменён таймаут для UDP-пакетов, отправляемых на нестандартные сетевые порты.
URL: https://blog.snort.org/2019/04/snort-29130-has-been-released...
Новость: https://www.opennet.me/opennews/art.shtml?num=50503
Матриксу бы это пригодилось
атака=взлом? читай хотяб заголовки внимательно
Чтобы взломать, надо атаковать же
Меняйте срочно профессию :)
вряд ли - snort надо размещать в закрытом периметре (а то его и самого могут того-с). К тому же если циске за правила не платить, вряд ли он вообще узнает про проблемы в дыроженкинсе.А у этих все было нахаляву, и при этом дырками наружу. Неудивительно что кто-то не поленился присунуть.
Да, кстати, средства защиты сами надо защищать.
>Матриксу бы это пригодилосьЧтобы защититься от этого коварного curl?
Толи он у меня завирусячен, толи некорректно написан. Посмотрел с подозрением и выключил.Лезет куда-то net_raw и что-то наровит изменить net_admin.
Кто-нибудь сталкивался с HTTP post request с компрессией? У нас snort не берет их. Типа вот этого: https://quickview.cloudapps.cisco.com/quickview/bug/CSCvj84687Может какие настройки нужны?