Suricata strong> ist eine Open-Source-, Multi-Plattform- und völlig kostenlose Netzwerk-Intrusion-Prevention- und Detection-Engine, die von der Open Information Security Foundation (OISF) und ihren unterstützenden Anbietern entwickelt wurde.
Die IDS / IPS-Engine ist multi-threaded
Die IDS / IPS-Engine von Suricata ist multi-threaded und bietet native IPv6-Unterstützung. Es kann vorhandene Snort-Regeln und -Signaturen laden und unterstützt die Tools Barnyard und Barnyard2.
Es ist hoch skalierbar
Sie sollten Suricata ausprobieren, weil es sehr skalierbar ist, die meisten gängigen Protokolle erkennt und Tausende von Dateitypen erkennt, MD5-Prüfsummen prüft und Dateien aus Archiven extrahiert.
Unterstützt Mainstream-Betriebssysteme
Suricata ist eine plattformübergreifende Anwendung, die unter GNU / Linux-, BSD- (FreeBSD- und OpenBSD-), Microsoft Windows- und Mac OS X-Betriebssystemen erfolgreich eingesetzt werden kann.
Es wird als Quellarchiv verteilt
Die Software wird nur als Quellarchiv verteilt, das vor der Installation konfiguriert und kompiliert werden muss. Sie können es jedoch problemlos von den Standard-Software-Repositories Ihrer Linux-Distribution installieren. Sowohl 32-Bit- als auch 64-Bit-Hardware-Plattformen werden unterstützt.
Die beste IDS- und IPS-Software, die auf Open-Source-Technologien basiert
Suricata ist ohne Zweifel die beste IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) Software, die jemals entwickelt wurde und nur mit Open-Source-Technologien betrieben wird.
Was ist neu In dieser Version:
- Sicherheit:
- CVE-2018-10243 (libhtp)
- Änderungen:
- Fehler # 2480: http eve Protokolldatenquelle / dest flip (4.0.x)
- Fehler # 2482: HTTP-Verbindung: Unterschied in den Erkennungsraten zwischen 3.1 und 4.0.x
- Fehler # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
- Fehler # 2532: mleleak: wenn App-Layer-Ereignisregeln ohne Rost verwendet werden
- Fehler # 2533: Suricata gzip Entpacker umgehen (4.0.x)
- Fehler # 2534: Suricata beendet die Überprüfung des TCP-Streams, wenn eine TCP-RST erfüllt wurde (4.0.x)
- Fehler # 2535: Nachrichten mit SC_LOG_CONFIG-Ebene werden in Syslog mit EMERG-Priorität (4.0.x) protokolliert
- Fehler # 2537: libhtp 0.5.27 (4.0.x)
- Fehler # 2540: betragandom verhindert alle Suricata-Startbefehle auf späteren Betriebssystemen (4.0.x)
- Fehler # 2544: ssh out of bounds read (4.0.x)
- Fehler # 2545: enip out of bounds read (4.0.x)
CVE-2018-10242, CVE-2018-10244 (suricata)
Was ist neu in Version 4.0.4:
- Sicherheit:
- CVE-2018-6794 wurde für die Ausgabe # 2440 angefordert
- Änderungen:
- Fehler # 2306: suricata 4 Deadlocks beim erneuten Öffnen des Ausgabeprotokolls
- Fehler # 2361: Regel erneut laden auflegen
- Fehler # 2389: BUG_ON wird in AppLayerIncFlowCounter (4.0.x) bestätigt
- Fehler # 2392: libhtp 0.5.26 (4.0.x)
- Fehler # 2422: [4.0.3] af_packet: ein Leck, das (möglicherweise) einen Inline-Kanal unterbricht
- Fehler # 2438: verschiedene Probleme beim Parsen der Konfiguration
- Fehler # 2439: Fix Zeitstempel offline, wenn pcap Zeitstempel Null (4.0.x) ist
- Fehler # 2440: Stream Engine Bypass Problem (4.0.x)
- Fehler # 2441: der Parser: schlechte Eingabe verbraucht CPU und Speicher (4.0.x)
- Fehler # 2443: DNP3 memcpy buffer overflow (4.0.x)
- Fehler # 2444: Rost / DNS: Core Dump mit falschem Traffic (4.0.x)
- Fehler # 2445: http bodies / file_data: Erstellung von Thread-Speicherplatz außerhalb der Grenzen
Was ist neu in der Version:
- Feature # 2245: Decoder für ieee802.1AH-Verkehr
- Fehler # 798: stats.log in yaml config - Option anhängen - fehlt
- Fehler # 891: detect-engine.profile geht nicht in falschen Werten aus - suricata.yaml
- Fehler # 961: Parsen der max. ausstehenden Pakete Variable
- Fehler # 1185: napatech: cppcheck warning
- Fehler # 2215: Verlorene Ereignisse, die in den Unix-Socket schreiben
- Fehler # 2230: valgrind memcheck - 4.0.0-dev (rev. 1180687)
- Fehler # 2250: detect: mixing byte_extract und isdataat führt zu FP & FN
- Fehler # 2263: Inhaltsübereinstimmungen werden ignoriert, wenn dns_query im UDP-Verkehr verwendet wird
- Fehler # 2274: ParseSizeString in util-misc.c: Nullzeiger-Dereferenzierung
- Fehler # 2275: ConfGetInt in conf.c: Nullzeiger-Dereferenzierung
- Fehler # 2276: conf: Nullzeiger-Dereferenz in CoredumpLoadConfig
- Fehler # 2293: Regeln: Tiefe & lt; Inhaltsregeln nicht abgelehnt
- Fehler # 2324: segfault in http_start (4.0.x)
- Fehler # 2325: Suricata segfaults bei ICMP und Flowint Check (4.0.x)
Was ist neu in Version 4.0.1:
- Verbesserte Erkennung:
- Basierend auf dem wertvollen Feedback der Teams zum Erstellen von Regeln bei Emerging Threats und Positive Technologies haben wir viele Regelschlüsselwörter für die Überprüfung von HTTP, SSH und anderen Protokollen hinzugefügt und verbessert. TLS-Ergänzungen wurden von Mats Klepsland bei NorCERT bereitgestellt, einschließlich Decodierung, Protokollierung und Abgleich der TLS-Seriennummern. Darüber hinaus ermöglicht es Suricata jetzt, dass Regelverfasser angeben, wer das Ziel in einer Signatur ist. Diese Informationen werden in der EVE-JSON-Protokollierung verwendet, um mehr Kontext mit Warnungen bereitzustellen.
- TLS verbessert, NFS hinzugefügt:
- Mehr auf der TLS-Seite: Eine wichtige neue Funktion ist die Unterstützung von STARTTLS in SMTP und FTP. In diesen Fällen werden TLS-Sitzungen protokolliert. Mehr Güte von Mats Klepsland. Dank der Arbeit von Ray Ruvinskiy wird jetzt auch das Protokollieren der TLS-Sitzung fortgesetzt. Zusätzliche TLS-Protokollierungsverbesserungen wurden von Paulo Pacheco durchgeführt.
- NFS-Dekodierung, Protokollierung und Dateiextraktion wurde als Teil der experimentellen Rust-Unterstützung hinzugefügt. Lesen Sie weiter für mehr Informationen über Rust.
- Mehr EVE JSON:
- EVE wird auf verschiedene Arten erweitert ...
- Bei gekapseltem Verkehr werden sowohl die innere als auch die äußere IP-Adresse und die Ports protokolliert
- Die 'vars'-Einrichtung protokolliert Flussbits und andere Variablen. Dies kann auch verwendet werden, um Daten, die aus dem Datenverkehr extrahiert wurden, mit einer PCRE-Anweisung in Regeln zu protokollieren
- EVE kann nun basierend auf der Zeit gedreht werden
- EVE wurde erweitert, um optional die HTTP-Anfrage und / oder Antwort-Körper zu protokollieren
- Der (Teil-) Flussdatensatz wird den Alarmdatensätzen hinzugefügt.
- Die Funktion "vars" ist eine der wichtigsten Verbesserungen, da es jetzt möglich ist, dass eine Signatur Informationen für die Protokollierung genau extrahiert. Zum Beispiel kann eine Signatur eine angekündigte Softwareversion oder andere Informationen wie den Empfänger einer E-Mail extrahieren. [https://blog.inliniac.net/2016/12/20/suricata-bits-ins-and-vars/]
- Erster Schritt in eine sicherere Zukunft:
- Dies ist die erste Version, in der wir Teile in der Sprache Rust unter Verwendung des Nom-Parser-Frameworks implementiert haben. Diese Arbeit ist inspiriert von Pierre Chiffliers (ANSSI), Vortrag auf der SuriCon 2016 (pdf). Durch die Kompilierung mit -enable-rost erhalten Sie einen grundlegenden NFS-Parser und eine Neuimplementierung des DNS-Parsers. Feedback dazu wird sehr geschätzt.
- Die Unterstützung von Rust ist immer noch experimentell, da wir weiterhin untersuchen, wie es funktioniert und was es braucht, um es in der Gemeinschaft zu unterstützen. Zusätzlich haben wir Pierre Chiffliers Rust Parser-Arbeit eingeschlossen. Dies verwendet externe Rust-Parser-Kästen und wird durch die Verwendung von -enable-rust-experimental ermöglicht. Anfangs wird ein NTP-Parser hinzugefügt.
- Unter der Haube:
- Eine wichtige Aktualisierung der TCP-Stream-Engine ist enthalten. Dies sollte zu einer besseren Leistung und weniger Konfiguration führen, besonders im IPS-Modus. Erste Schritte in der TCP-GAP-Wiederherstellung wurden unternommen, mit Implementierungen für DNS und NFS.
- Für Entwickler erleichtert diese Version die Erweiterung der Erkennungs-Engine um leistungsstarke Keywords. Das Hinzufügen eines neuen Hochleistungs-Keywords mithilfe der Mehrfachmustererkennung erfordert jetzt nur noch wenige Codezeilen.
- Dokumentation:
- David Wharton von SecureWorks hat einen Abschnitt in der Dokumentation für Regelschreiber erstellt, die einen Hintergrund in Snort haben. Es dokumentiert Änderungen, die für das Schreiben von Regeln relevant sind.
- Nächste Schritte:
- Aufgrund des Feedbacks, das wir erhalten, erwarten wir, dass wir in etwa einem Monat eine Version 4.0.1 veröffentlichen werden. Dann beginnen wir mit der Arbeit an der nächsten Hauptversion, die 4.1 heißt. Dies ist geplant für den späten Herbst, ETA vor SuriCon in Prag.
Was ist neu in Version 4.0.0:
- Verbesserte Erkennung:
- Basierend auf dem wertvollen Feedback der Teams zum Erstellen von Regeln bei Emerging Threats und Positive Technologies haben wir viele Regelschlüsselwörter für die Überprüfung von HTTP, SSH und anderen Protokollen hinzugefügt und verbessert. TLS-Ergänzungen wurden von Mats Klepsland bei NorCERT bereitgestellt, einschließlich Decodierung, Protokollierung und Abgleich der TLS-Seriennummern. Darüber hinaus ermöglicht es Suricata jetzt, dass Regelverfasser angeben, wer das Ziel in einer Signatur ist. Diese Informationen werden in der EVE-JSON-Protokollierung verwendet, um mehr Kontext mit Warnungen bereitzustellen.
- TLS verbessert, NFS hinzugefügt:
- Mehr auf der TLS-Seite: Eine wichtige neue Funktion ist die Unterstützung von STARTTLS in SMTP und FTP. In diesen Fällen werden TLS-Sitzungen protokolliert. Mehr Güte von Mats Klepsland. Dank der Arbeit von Ray Ruvinskiy wird jetzt auch das Protokollieren der TLS-Sitzung fortgesetzt. Zusätzliche TLS-Protokollierungsverbesserungen wurden von Paulo Pacheco durchgeführt.
- NFS-Dekodierung, Protokollierung und Dateiextraktion wurde als Teil der experimentellen Rust-Unterstützung hinzugefügt. Lesen Sie weiter für mehr Informationen über Rust.
- Mehr EVE JSON:
- EVE wird auf verschiedene Arten erweitert ...
- Bei gekapseltem Verkehr werden sowohl die innere als auch die äußere IP-Adresse und die Ports protokolliert
- Die 'vars'-Einrichtung protokolliert Flussbits und andere Variablen. Dies kann auch verwendet werden, um Daten, die aus dem Datenverkehr extrahiert wurden, mit einer PCRE-Anweisung in Regeln zu protokollieren
- EVE kann nun basierend auf der Zeit gedreht werden
- EVE wurde erweitert, um optional die HTTP-Anfrage und / oder Antwort-Körper zu protokollieren
- Der (Teil-) Flussdatensatz wird den Alarmdatensätzen hinzugefügt.
- Die Funktion "vars" ist eine der wichtigsten Verbesserungen, da es jetzt möglich ist, dass eine Signatur Informationen für die Protokollierung genau extrahiert. Zum Beispiel kann eine Signatur eine angekündigte Softwareversion oder andere Informationen wie den Empfänger einer E-Mail extrahieren. [https://blog.inliniac.net/2016/12/20/suricata-bits-ins-and-vars/]
- Erster Schritt in eine sicherere Zukunft:
- Dies ist die erste Version, in der wir Teile in der Sprache Rust unter Verwendung des Nom-Parser-Frameworks implementiert haben. Diese Arbeit ist inspiriert von Pierre Chiffliers (ANSSI), Vortrag auf der SuriCon 2016 (pdf). Durch die Kompilierung mit -enable-rost erhalten Sie einen grundlegenden NFS-Parser und eine Neuimplementierung des DNS-Parsers. Feedback dazu wird sehr geschätzt.
- Die Unterstützung von Rust ist immer noch experimentell, da wir weiterhin untersuchen, wie es funktioniert und was es braucht, um es in der Gemeinschaft zu unterstützen. Zusätzlich haben wir Pierre Chiffliers Rust Parser-Arbeit eingeschlossen. Dies verwendet externe Rust-Parser-Kästen und wird durch die Verwendung von -enable-rust-experimental ermöglicht. Anfangs wird ein NTP-Parser hinzugefügt.
- Unter der Haube:
- Eine wichtige Aktualisierung der TCP-Stream-Engine ist enthalten. Dies sollte zu einer besseren Leistung und weniger Konfiguration führen, besonders im IPS-Modus. Erste Schritte in der TCP-GAP-Wiederherstellung wurden unternommen, mit Implementierungen für DNS und NFS.
- Für Entwickler erleichtert diese Version die Erweiterung der Erkennungs-Engine um leistungsstarke Keywords. Das Hinzufügen eines neuen Hochleistungs-Keywords mithilfe der Mehrfachmustererkennung erfordert jetzt nur noch wenige Codezeilen.
- Dokumentation:
- David Wharton von SecureWorks hat einen Abschnitt in der Dokumentation für Regelschreiber erstellt, die einen Hintergrund in Snort haben. Es dokumentiert Änderungen, die für das Schreiben von Regeln relevant sind.
- Nächste Schritte:
- Aufgrund des Feedbacks, das wir erhalten, erwarten wir, dass wir in etwa einem Monat eine Version 4.0.1 veröffentlichen werden. Dann beginnen wir mit der Arbeit an der nächsten Hauptversion, die 4.1 heißt. Dies ist geplant für den späten Herbst, ETA vor SuriCon in Prag.
Was ist neu in Version 3.2.1:
- Feature # 1951: Erlaube Gebäude ohne libmagic / file
- Feature # 1972: SURICATA ICMPv6 unbekannter Typ 143 für MLDv2 Bericht
- Feature # 2010: Suricata sollte die Anwesenheit von SSSE3 zur Laufzeit bestätigen, wenn es mit der Hyperscan-Unterstützung erstellt wurde
- Fehler # 467: Kompilierung mit Unittests und Debug-Validierung
- Fehler # 1780: VLAN Tags werden nicht im afpacket Inline-Modus weitergeleitet
- Fehler # 1827: Mpm AC kann Speicher nicht zuordnen
- Fehler # 1843: Mpm Ac: int Überlauf während init
- Fehler # 1887: pcap-log setzt snaplen auf -1
- Fehler # 1946: Antwort kann in einigen Situationen nicht gefunden werden
- Fehler # 1973: suricata startet nicht wegen Unix Socket
- Fehler # 1975: Hostbits / xbits Speicherleck
- Fehler # 1982: tls: ungültiges Ereignis bei gültigem Datenverkehr ausgelöst
- Fehler # 1984: http: Protokollerkennungsproblem, wenn beide Seiten fehlerhaft sind
- Fehler # 1985: pcap-log: kleinere Speicherlecks
- Fehler # 1987: log-pcap: pcap-Dateien, die mit ungültigem Snaple erstellt wurden
- Fehler # 1988: tls_cert_subject Bug
- Fehler # 1989: SMTP-Protokollerkennung unterscheidet zwischen Groß- und Kleinschreibung
- Fehler # 1991: Suricata kann Ports nicht analysieren: "! [1234, 1235]"
- Fehler # 1997: tls-store: Bug, der Suricata zum Absturz bringt
- Fehler # 2001: Behandlung von unerwünschten DNS-Antworten.
- Fehler # 2003: BUG_ON body enthält manchmal side-functional code
- Fehler # 2004: Ungültige Datei-Hash-Berechnung, wenn force-hash verwendet wird
- Fehler # 2005: Inkohärente Größen zwischen Anfrage, Erfassung und HTTP-Länge
- Bug # 2007: smb: Protokoll-Erkennung prüft nur toserver
- Fehler # 2008: Suricata 3.2, pcap-log funktioniert nicht mehr aufgrund von timestamp_pattern PCRE
- Fehler # 2009: Suricata kann keine Offloading-Einstellungen erhalten, wenn sie unter Nicht-Root ausgeführt werden
- Fehler # 2012: dns.log protokolliert keine unbeantworteten Abfragen
- Fehler # 2017: EVE Log Missing Fields
- Fehler # 2019: IPv4-Defragmentierungsproblem
- Fehler # 2022: DNS: nicht gebundener Speicher gelesen
Was ist neu in Version 3.2:
- Große Änderungen:
- umgehen
- Vorfilter - schnelle Paketschlüsselwörter
- TLS-Verbesserungen
- SCADA / ICS-Protokoll-Ergänzungen: DNP3 CIP / ENIP
- SHA1 / SHA256 für Dateiabgleich, Protokollierung und Extraktion
- Sphinx-Dokumentation
- Sichtbare kleinere Änderungen:
- NIC-Verschiebung ist standardmäßig deaktiviert
- Unix-Befehlssockel standardmäßig aktiviert
- App-Layer-Statistiken
- Unter der Haube:
- Threading-Vereinfachung (log api + keine weiteren Threadneustarts)
- Flussmanageroptimierung
- vereinfachen Sie das Hinzufügen von Keywords
- luajit Verbesserungen bei der Speicherverwaltung in großen Bereitstellungen
Was ist neu in Version 3.1.2:
- Feature # 1830: Unterstütze 'Tag' in Eve Log
- Feature # 1870: mache geloggte flow_id eindeutiger
- Feature # 1874: Unterstützung von Cisco Fabric Path / DCE
- Feature # 1885: eve: Option zum Protokollieren aller gelöschten Pakete hinzufügen
- Feature # 1886: DNS: Ausgabefilterung
- Fehler # 1849: ICMPv6 falscher Prüfsummenalarm, wenn Ethernet FCS vorhanden ist
- Fehler # 1853: behebe dce_stub_data buffer
- Fehler # 1854: Unified2: Protokollierung von getaggten Paketen funktioniert nicht
- Fehler # 1856: PCAP-Modus-Gerät nicht gefunden
- Fehler # 1858: Viele TCP 'doppelte Option / DNS ungültige Anfragedaten' nach dem Upgrade von 3.0.1 auf 3.1.1
- Fehler # 1878: DNS: Absturz während der Protokollierung sshfp Datensätze
- Fehler # 1880: icmpv4-Fehlerpakete können zu einer fehlgeschlagenen Erkennung in tcp / udp führen
- Fehler # 1884: libhtp 0.5.22
Was ist neu in Version 3.1.1:
- Feature # 1775: Lua: SMTP-Unterstützung
- Fehler # 1419: Probleme bei der Behandlung von DNS-Transaktionen
- Fehler # 1515: Problem mit Threshold.config bei Verwendung von mehr als einer IP
- Fehler # 1664: Nicht replizierte DNS-Abfragen werden nicht protokolliert, wenn der Flow ausläuft
- Fehler # 1808: Thread-Priorität kann nach dem Löschen von Privilegien nicht festgelegt werden
- Fehler # 1821: Suricata 3.1 startet nicht auf CentOS6
- Fehler # 1839: suricata 3.1 configure.ac sagt & gt; = libhtp-0.5.5, aber & gt; = libhtp-0.5.20 erforderlich
- Fehler # 1840: -list-keywords und -list-app-layer-protos funktionieren nicht
- Fehler # 1841: libhtp 0.5.21
- Fehler # 1844: netmap: IPS-Modus setzt 2. iface im Promisc-Modus nicht
- Fehler # 1845: Absturz beim Deaktivieren eines App-Layer-Protokolls, wenn der Logger noch aktiviert ist
- Optimierung # 1846: af-packet: Verbesserung der Thread-Berechnungslogik
- Optimierung # 1847: Regeln: Warne nicht auf leere Dateien
Was ist neu in Version 3.0.1:
- verbesserte Erkennungsoptionen, einschließlich Mandantenfähigkeit und xbits
- Leistung und Skalierbarkeit stark verbessert
- viel verbesserte Genauigkeit und Robustheit
- Lua Scripting-Funktionen wurden erheblich erweitert
- viele Ausgabe Verbesserungen, darunter viel mehr JSON
- Unterstützung von NETMAP-Capture-Methoden, besonders interessant für FreeBSD-Benutzer
- SMTP-Prüfung und Dateiextraktion
Was ist neu in Version 3.0:
- verbesserte Erkennungsoptionen, einschließlich Mandantenfähigkeit und xbits li>
- Leistung und Skalierbarkeit stark verbessert
- viel verbesserte Genauigkeit und Robustheit
- Lua Scripting-Funktionen wurden erheblich erweitert
- viele Ausgabe Verbesserungen, darunter viel mehr JSON
- Unterstützung von NETMAP-Capture-Methoden, besonders interessant für FreeBSD-Benutzer
- SMTP-Prüfung und Dateiextraktion
Was ist neu in Version 2.0.9:
- Änderungen:
- Fehler # 1385: DCERPC-Verkehrsparsing-Problem
- Fehler # 1391: http uri Analyseproblem
- Fehler # 1383: tcp Midstream-Fenster Problem
- Fehler # 1318: Ein Thread-Synchronisierungsproblem in streamTCP
- Fehler # 1375: Regressionen in der Listenschlüsselwortoption
- Fehler # 1387: pcap-Datei hängt auf Systemen ohne Atomunterstützung
- Fehler # 1395: dump-counters Unix-Socket-Befehlsfehler
- Optimierung # 1376: Dateiliste ist nicht bereinigt
- Sicherheit:
- Dem DCERPC-Analyseproblem wurde CVE-2015-0928 zugewiesen.
Was ist neu in Version 2.0.7:
- Änderungen:
- Fehler # 1385: DCERPC-Verkehrsparsing-Problem
- Fehler # 1391: http uri Analyseproblem
- Fehler # 1383: tcp Midstream-Fenster Problem
- Fehler # 1318: Ein Thread-Synchronisierungsproblem in streamTCP
- Fehler # 1375: Regressionen in der Listenschlüsselwortoption
- Fehler # 1387: pcap-Datei hängt auf Systemen ohne Atomunterstützung
- Fehler # 1395: dump-counters Unix-Socket-Befehlsfehler
- Optimierung # 1376: Dateiliste ist nicht bereinigt
- Sicherheit:
- Dem DCERPC-Analyseproblem wurde CVE-2015-0928 zugewiesen.
Was ist neu in Version 2.0.6:
- Fehler # 1364: Umgehungsprobleme
- Fehler # 1337: Ausgabe-json: doppelte Protokollierung
- Fehler # 1325: tls-Erkennung führt zu TCP-Reassembly-Sequenzlücken (IPS)
- Fehler # 1192: Suricata kompiliert nicht auf OS X / Clang aufgrund der Neudefinition von String-Funktionen
- Fehler # 1183: pcap: cppcheck warning
Was ist neu in Version 2.0.5:
- Fehler # 1190: Schlüsselwort http_header stimmt nicht mit SYN überein | ACK und ACK fehlen
- Fehler # 1246: EVE Ausgabe Unix Domain Socket funktioniert nicht
- Fehler # 1272: Segfault in libhtp 0.5.15
- Fehler # 1298: Fehler beim Parsing des Dateispeicher-Schlüsselwortes
- Fehler # 1303: verbesserter Stream 'bad window update' Erkennung
- Fehler # 1304: Verbesserung der Stream-Handhabung schlechter SACK-Werte
- Fehler # 1305: Fix tcp Session Wiederverwendung für ssh / ssl Sitzungen
- Fehler # 1307: byte_extract, innerhalb der Kombination funktioniert nicht
- Fehler # 1326: pcre pkt / flowvar Erfassung für nicht-relative Treffer unterbrochen
- Fehler # 1329: Ungültige Regel wird verarbeitet und geladen
- Fehler # 1330: Fehler in der Buchungsmaske (2.0.x)
Was ist neu in Version 2.0.4:
- Änderungen:
- Fehler # 1276: ipv6 Defrag Problem mit Routing Headern
- Fehler # 1278: Problem mit dem ssh banner-Parser
- Fehler # 1254: sig parsing stürzt bei falschem rev-Schlüsselwort ab
- Fehler # 1267: Problem mit IPv6-Protokollierung
- Fehler # 1273: Lua - http.request_line funktioniert nicht
- Fehler # 1284: AF_PACKET IPS-Modus protokolliert nicht und löscht Inline-Problem
- Sicherheit:
- CVE-2014-6603
Was ist neu in Version 2.0.3:
- Fehler # 1236: Behebung eines möglichen Absturzes beim http-Parsing
- Fehler # 1244: Problem mit der ipv6-Defragmentierung
- Fehler # 1238: Mögliche Umgehung in stream-tcp-reassemble.c
- Fehler # 1221: Kleinste Konvertierungstabelle fehlt letzter Wert
- Support # 1207: Kompilieren auf CentOS 5 x64 mit -enable-profiling nicht möglich
- Aktualisierung der gebündelten libhtp auf 0.5.15
Was ist neu in Version 2.0 RC1:
- Einheitliche JSON-Ausgabe wurde hinzugefügt. Die VLAN-Handhabung wurde verbessert.
- QinQ-Unterstützung wurde hinzugefügt.
- Eine Befehlszeilenoption zum Überschreiben der Konfigurationseinstellungen wurde hinzugefügt.
- ICMPv6-Handhabung wurde verbessert.
- Memcaps für die DNS- und HTTP-Behandlung wurden hinzugefügt.
- Es wurden mehrere Paketerfassungsverbesserungen vorgenommen.
- Ein optimierter NSM-Laufmodus wurde hinzugefügt.
- Viele andere Probleme wurden behoben.
Was ist neu in Version 2.0 Beta 2:
- Die VLAN-Unterstützung wurde verbessert.
- IP Defrag Optionen wurden hinzugefügt.
- Optionen wurden zum Aktivieren und Deaktivieren von Protokollparsern hinzugefügt.
- Protokollerkennung wurde verbessert.
- IPv6-Verbesserungen wurden vorgenommen.
- Die HTTP-Überprüfung wurde verbessert.
- Profilierungsoptionen wurden erweitert.
- Viele weitere Änderungen wurden vorgenommen.
Was ist neu in Version 1.4.7:
- Korrekturen:
- Fehler # 996: Schlüsselwort tag: Tagging Sitzungen pro Zeit ist kaputt
- Fehler # 1000: verzögerte Erkennung von Schwellenwerten vor de_ctx
- Fehler # 1001: ip_rep lädt ein Problem mit mehreren Werten für eine einzelne IP-Adresse
- Fehler # 1022: StreamTcpPseudoPacketSetupHeader: Port-Auslagerungslogik ist nicht konsistent
- Fehler # 1047: detect-engine.profile - Analyse des benutzerdefinierten Werts fehlerhaft
- Fehler # 1063: Regelreihenfolge mit mehreren Variablen
Was ist neu in Version 1.4.6:
- Fehler 958: ungültige SSL-Datensätze führen zum Absturz. Berichtet von Sebastian Roschke. CVE-2013-5919.
- Fehler 971: AC-Pattern-Matcher außerhalb des Speicherbereichs gelesen.
- Bug 965: Verbesserung der Handhabung negierter Inhalte. Berichtet von Will Metcalf.
- Fehler 937: Repariere IPv6-in-IPv6-Decodierung.
- Fehler 934: Adressanalyse verbessern.
- Fehler 969: Fix Unified2 nicht getaggte Pakete protokollieren.
Was ist neu in Version 1.4.5:
- IPv6-Probleme wurden behoben.
Kommentare nicht gefunden