Snort

Téléchargé par des millions de personnes dans le monde et comptant plus d'un demi-million d'utilisateurs enregistrés, Snort est une application de ligne de commande gratuite et open source pouvant être utilisée avec succès pour la prévention, la détection et la protection. sur n'importe quel système d'exploitation GNU / Linux, capable d'enregistrer des paquets et d'analyser le trafic en temps réel.

Le projet peut être configuré en quatre modes, le mode Renifleur, le mode Packet Logger, le mode NIDS (Network Intrusion Detection System), ainsi que le mode Inline. En outre, Snort est livré avec des règles prédéfinies qui peuvent être téléchargées à partir du site Web du projet, créé par la communauté ou par les développeurs Snort.

Malgré le fait qu'il fonctionne à partir de la ligne de commande, Snort n'est pas très difficile à utiliser, mais il y a beaucoup d'options pour jouer avec. Il combine avec succès les avantages de l'inspection, de la signature et du protocole basés sur les anomalies, ce qui en fait la technologie IPS (Intrusion Prevention System) et IDS (Intrusion Detection System) la plus largement déployée.

Systèmes d'exploitation pris en charge et disponibilité

Comme il est disponible au téléchargement comme archive de sources universelles, Snort est officiellement supporté sous de nombreuses distributions GNU / Linux, mais il supporte officiellement, avec des paquets binaires, les systèmes d'exploitation Fedora, CentOS, FreeBSD et Microsoft Windows. Les architectures 32 bits et 64 bits sont prises en charge pour le moment.

Snort peut être facilement installé sur de nombreuses versions de GNU / Linux, car il est disponible en téléchargement à partir des référentiels logiciels par défaut des systèmes d'exploitation populaires basés sur le noyau Linux. La documentation de Gettings commencé peut être trouvée sur la page du projet, couvrant une grande quantité de questions liées à la configuration de Snort sur les systèmes d'exploitation Debian, openSUSE, Fedora, CentOS, FreeBSD et NetBSD.

Nouveautés dans cette version:

• Amélioration de la stabilité du préprocesseur Stream6
• Correction de plusieurs problèmes dans le préprocesseur HttpInspect
• Correction d'un problème de masquage incorrect des données sensibles

Nouveautés dans la version 2.9.9.0:

• Amélioration de la stabilité pour le préprocesseur Stream6
• Correction de plusieurs problèmes dans le préprocesseur HttpInspect
• Correction d'un problème de masquage incorrect des données sensibles

Quoi de neuf dans la version 2.9.8.3:

• Amélioration de la stabilité pour le préprocesseur Stream6
• Correction de plusieurs problèmes dans le préprocesseur HttpInspect
• Correction d'un problème de masquage incorrect des données sensibles

Quoi de neuf dans la version 2.9.8.2:

• Nouveaux ajouts:
• API Future-flow et DNS exposée au détecteur lua.
• Prise en charge du marquage VLAN double.
• Améliorations:
• Améliorations des performances apportées à AppID.
• Améliorations de la stabilité du fichier et du préprocesseur ftp_telnet.
• Correction de plusieurs problèmes avec SDF et obscurcissement.
• Résolution d'un problème de traitement incorrect d'un hôte DNS mal formé dans AppID.
• HTTP PAF accepte tous les jetons entre les chaînes de méthode et de version dans un URI de requête.
• Problème de construction de snort résolu avec & quot; - disable-perfprofiling & quot; configurez l'option.
• Amélioration de l'analyse syntaxique en ajoutant un support pour la détection des fichiers après des en-têtes inconnus et aucun en-tête.
• Correction d'un problème avec la décompression gzip. Si la réponse du serveur spécifie. Content-Encoding comme GZIP, mais aucun champ Content-Length pour HTTP ver 1.0.
• Identification de fin d'en-tête (EOH) pour l'en-tête de réponse HTTP couvrant plusieurs paquets.
• Amélioration du réassemblage des paquets pour HTTP.
• Problème de décompression Flash LZMA résolu.

Nouveautés dans la version 2.9.8.0:

• Nouveaux ajouts:
• Prise en charge de SMBv2 / SMBv3 pour l'inspection de fichiers.
• Remplacement du port pour le service de métadonnées dans les règles IPS.
• Profilage des performances du détecteur Lua AppID.
• Perfmon déverse les statistiques à intervalles fixes depuis l'heure absolue.
• Nouvelle alerte de préprocesseur (120: 18) pour détecter le tunneling SSH sur HTTP
• Nouvelle option de configuration | disable_replace | pour désactiver l'option de règle de remplacement.
• Nouvelle configuration de flux | log_asymmetric_traffic | pour contrôler la journalisation dans syslog.
• Nouveau script shell dans les outils pour créer des détecteurs Lua simples pour AppID.
• Améliorations:
• sfip_t a été refactorisé pour utiliser struct in6_addr pour toutes les adresses IP.
• Callback de post-détection pour les préprocesseurs.
• Support AppID pour plusieurs détecteurs serveur / client évaluant sur le même flux.
• API AppID pour les paquets DNS.
• Optimisations de mémoire partout.
• Prise en charge de l'envoi de réponses actives UDP.
• Correction du suivi de perfmon des paquets élagués.
• Améliorations de la stabilité pour AppID.
• Améliorations de la stabilité pour le préprocesseur Stream6.
• Ajout d'un support amélioré pour bloquer les logiciels malveillants dans le préprocesseur FTP.
• Ajout du support pour différencier les connexions FTP actives et passives.
• Améliorations effectuées dans le préprocesseur Stream6 pour éviter la duplication des paquets dans la file d'attente de réessai DAQ.
• Résolution d'un problème où la configuration de la réputation affichait incorrectement la 'liste noire' dans le champ de priorité même si l'option 'liste blanche' était configurée.
• Ajout de la prise en charge de plusieurs sessions attendues créées par paquet
• La réponse active prend désormais en charge MPLS

Quoi de neuf dans la version 2.9.7.5:

• Ajout d'un support amélioré pour le préprocesseur Stream pour TCP asynchrone le trafic.
• La réponse active ne définit plus l'indicateur FIN sur le dernier segment envoyé.

Nouveautés dans la version 2.9.7.3:

• Nouveaux ajouts:
• Ajout du support PAF pour le trafic basé sur SIP
• Améliorations:
• Résolution d'un problème de retour arrière dans lequel l'option de règle 'protected_content' ne correspondait pas au contenu suite à une option de règle de contenu qui ne correspond pas.
• Résolution d'un problème où snort abandonnait les niveaux de privilège avant d'essayer de supprimer son fichier PID créé lors du niveau de privilège plus élevé
• Amélioration du traitement du trafic SSLv3, des extensions IPv6, du réassemblage de session HTTPS et de la normalisation
• Améliorations des performances pour le préprocesseur de fichiers
• Améliorations de stabilité pour le préprocesseur ftp_telnet

Nouveautés dans la version 2.9.7.2:

• src / build.h: mise à jour du numéro de build à 177
• src / preprocessors / Stream6 / snort_stream_tcp.c: Documentation: Correction d'un problème dans lequel la normalisation du trim TCP se produirait quand elle n'était pas nécessaire.
• src / decode.c, src / encode.c: Ajout de la prise en charge du décodage / codage Cisco FabricPath. Assurez-vous que flow_id est copié dans le fichier DAQ_PktHdr_t.
• src / snort.h, src / sfutil / sfrt.c, src / sfutil / sfrt.h src / target-based / sftarget_reader.c: conversion ntohl déplacée à l'intérieur de l'API sfrt pour IPv4 et IPv6.
• src / target-based / sftarget_protocol_reference.c Recherchez l'ID du protocole de l'application uniquement après l'établissement de la session. Affectez l'ID du protocole d'application à la session lors de l'utilisation de la table attributaire de l'hôte.
• src / util.c: Changements pour supprimer la journalisation de la configuration.
• src / file-process / file_service.c: Assigne le fichier config à un contexte de fichier avant de vérifier si la continuation HTTP.

Nouveautés dans la version 2.9.7.0:

• Nouveaux ajouts:
• Ajout de la possibilité de spécifier des noms de champs http supplémentaires personnalisés 'x-forwarder-for'. Un nouvel élément de configuration d'inspection http est utilisé pour spécifier un ensemble de noms de champs et leur ordre de priorité respectif.
• Délai d'expiration du flux de cache ajouté pour IP.
• Améliorations:
• Correction du traitement du trafic ICMPv6.
• Réassemblage de flux en ligne fixe pendant le traitement du fichier.
• Problème de condition de concurrence résolu avec le survol du fichier de statistiques Perfmon.

Nouveautés dans la version 2.9.6.0:

• Nouveaux ajoutsAjout d'un support pour traiter des fichiers spécifiques dans le préprocesseur DCERPC pour les fichiers transférés sur SMB.
• Capture et stockage de fichiers: enregistre les fichiers lorsqu'ils traversent le réseau via un nouveau préprocesseur prenant en charge HTTP, FTP, SMTP, POP, IMAP et SMB. Voir README.file et README.file_server (sous tools / file_server) pour plus de détails.
• Ajouter = opérateurs à l'option de règle byte_test.
• Mettez à jour SMTP pour détecter l'attaque par authentification Cyrus SASL.
• Ajoutez une capacité pour capturer une seule session du début à la fin.
• EXPERIMENTAL: Ajout du support pour tirer parti de l'identification du type de fichier dans les règles snort. Voir README.file_ips pour plus de détails.
• AméliorationsInjectez uniquement les réponses actives lorsqu'une session TCP est établie.
• Mettez à jour les protocoles POP et IMAP pour prendre en charge le PAF simple afin d'améliorer l'identification et la capture des fichiers.
• Mettez à jour SMTP, POP, IMAP pour améliorer l'inspection lorsque les limites mime sont réparties entre les paquets.
• Problème lié à l'adresse permettant de corriger la fin de la ligne pour les pièces jointes d'e-mail imprimables citées.
• Gérer l'établissement de liaison SSL hors service dans SMTP lorsque STARTTLS est utilisé et corriger les vérifications pour le type SSL uniquement dans le tremblement de la main SSL.
• Mettre à jour le préprocesseur de données sensibles pour gérer une recherche avec état des modèles sur plusieurs paquets.
• Résolvez quelques problèmes dans le manuel Snort et dans d'autres fichiers README pour les flowbits et les tunnels.
• Sauvegardez les données de paquets pour un débogage plus rapide dans le cas d'un SIGABRT ou d'un SIGBUS.
• Correction de l'alignement du noeud sfxhash pour les plates-formes SPARC.

Quoi de neuf dans la version 2.9.6.0 RC:

• Nous avons amélioré quelques petites choses , mais nous recherchons vraiment plus de tests dans le moteur et des retours sur les capacités que nous avons intégrées.

Nouveautés dans la version 2.9.6.0 Bêta:

• src / detection-plugins / sp_icmp_code_check.c: Autorise une valeur négative dans la vérification ICMP icode xy range. Cela permet à la règle d'inclure une vérification pour zéro
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Désactiver la détection lorsque la connexion TCP était déjà fermée.
• src /: préprocesseurs dynamiques / ftptelnet / ftpp_si.h, préprocesseurs dynamiques / ftptelnet / pp_ftp.c, préprocesseurs dynamiques / ftptelnet / snort_ftptelnet.c, file-process / file_api.h: Correction du traitement des fichiers FTP-Data
• src / snort_bounds.h: Eviter l'assertion pour une copie de mémoire de taille zéro
• src /: plugins-dynamiques / sf_dynamic_plugins.c, detection-plugins / sp_react.c: injecte seulement la page de réponse quand la session est établie.
• src / préprocesseurs-dynamiques / smtp / smtp_log.h, src / préprocesseurs-dynamiques / smtp / snort_smtp.c, src / préprocesseurs-dynamiques / smtp / snort_smtp.h, préproc_rules / preprocessor.rules, etc / gen-msg .map: Ajout d'une nouvelle alerte de préprocesseur pour détecter l'attaque par authentification Cyrus SASL.
• src / dynamic-preprocessors / ssh / spp_ssh.c: Définir l'assembly sur ABSOLUTE uniquement si le trafic est SSH. Procédez au traitement de l'état de la clé ssh, échangez les clés / échange de clés et / ou les données cryptées dans un seul paquet réassemblé. Merci à Florian Westphal d'avoir signalé cela.
• src / file-process / file_mime_process.c: Pour IMAP, le MIME et le message seront dans le corps de fetch, qui se terminera par & quot;) & quot;.
• src /: préprocesseurs dynamiques / dns / spp_dns.c, préprocesseurs dynamiques / ssh / spp_ssh.c, Modification de la politique de réassemblage du préprocesseur; Modification de la transition d'état du préprocesseur SSH en fonction du répertoire plutôt que des deux.
• src /: préprocesseurs / Stream5 / snort_stream5_tcp.c: Ignore l'espace lors de l'activation dynamique du réassemblage sur le tout premier paquet de la session.
• src / dynamic-preprocessors / dnp3 / spp_dnp3.c: corrige les avertissements mempool incorrects. Merci à Bram d'avoir signalé cela
• doc / snort_manual.pdf, doc / snort_manual.tex, configure.in, src / snort.c, src / util.c: Ajuster la mémoire avant et après la configuration.
• src /: préprocesseurs-dynamiques / imap / snort_imap.c, préprocesseurs-dynamiques / pop / snort_pop.c, préprocesseurs-dynamiques / smtp / snort_smtp.c, file-process / file_mime_process.c, sfutil / sf_email_attach_decode.c: Autorise le décodage 7 bits des pièces jointes binaires.
• src / dynamic-preprocessors / sdf /: spp_sdf.c, spp_sdf.h: évitez la correspondance partielle de l'arborescence de règles pendant le rechargement.
• src / tag.c: Correction d'une erreur de vérification des limites afin que la limite globale de paquets étiquetés n'autorise pas de balise supplémentaire.
• src /: fichier-processus / fichier_mime_process.h, fichier-processus / fichier_api.h, fichier-processus / fichier_mime_process.c, fichier-processus / fichier_service.c, dynamique-préprocesseurs / imap / snort_imap.c, dynamique- préprocesseurs / imap / spp_imap.c, préprocesseurs dynamiques / smtp / snort_smtp.c, préprocesseurs dynamiques / pop / snort_pop.c, préprocesseurs dynamiques / pop / spp_pop.c: Ajoute un support PAF simple pour POP et IMAP.
• src /: util.c, util.h, sfutil / sf_ip.c, sfutil / sf_ip.h: bogues Ajoutez sfip_convert_ip_text_to_binary () pour appliquer la syntaxe IPv4 agnostique de la plate-forme. Assurez-vous que xatou (), xatol () et xatoup () renvoient des valeurs dans la plage spécifiée
• doc / snort_manual.tex: Mettre à jour le document pour inclure les opérateurs '=' à la commande byte_test
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Assurez-vous que l'événement INTERNAL_EVENT_SESSION_ADD est uniquement dans l'état ESTABLISHED.
• src / sfutil / sf_email_attach_decode.c: Vérifiez que la chaîne de codage QP est valide pour éviter de décoder correctement la fin de ligne.
• src / dynamic-preprocessors / ftptelnet / snort_ftptelnet.c: Tweak sortie de configuration pour correspondre à l'entrée de configuration. Merci à Reinoud Koornstra pour cette suggestion.
• src / préprocesseurs / Stream5 /: snort_stream5_icmp.c, snort_stream5_tp.c, snort_stream5_udp.c: préprocesseurs dynamiques / pop / snort_pop.c ssl / spp_ssl.c, codecode.c, préprocesseurs-dynamiques / dcerpc2 / dce2_cl.c, préprocesseurs-dynamiques / dcerpc2 / dce2_session.h, préprocesseurs-dynamiques / dcerpc2 / snort_dce2.c, préprocesseurs-dynamiques / dns / spp_dns.c, dynamic-preprocessors / imap / snort_imap.c: préprocesseurs / spp_rpc_decode.c, préprocesseurs / spp_stream5.c, préprocesseurs / stream_api.h, préprocesseurs / stream_expect.c: Gestion des handshake SSL dans SMTP. Merci à Bram pour le reportage.
• src / preprocessors / perf-base.c: Mettre à jour l'en-tête imprimé en haut du fichier.
• src / preprocessors / perf-base.c: Changez le nom de stat des paquets bloqués pour bloquer les verdicts.
• src / preprocessors / Stream5 / snort_stream5_session.c: Délai d'expiration d'une session lorsque le délai d'expiration de la session atteint au lieu d'attendre le délai d'attente nominal de la session.
• configure.in, src / plugbase.c, src / rule_option_types.h, src / snort.c, src / plugins-de-détection / Makefile.am, src / detection-plugins /: sp_file_type.c, sp_file_type.h, src / detection-plugins / detection_options.c, src / préprocesseurs-dynamiques / Makefile.am, src / file-process / Makefile.am, src / file-process / fichier_api.h, src / file-process / file_service.c, src / file-process / fichier_service_config.c, src / file-process / fichier_service_config.h, src / fichier-processus / libs / Makefile.am, src / fichier-processus / libs / fichier_config.c, src / file-process / libs / file_config.h, src / fichier-processus / libs / fichier_lib.c, src / fichier-processus / libs / fichier_lib.h, src / préprocesseurs / spp_stream5.c, outils / Makefile.am, doc /: README.file , README.file_ips, Makefile.am: Mots clés d'inspection de fichiers pour les règles IPS.
• src / dynamic-préprocessors / sdf /: sdf_pattern_match.c, sdf_pattern_match.h, spp_sdf.c, spp_sdf.h: ajout de la correspondance de modèle par état des modèles sdf entre les paquets.
• mkinstalldirs, doc / snort_manual.tex, src / detect.c, src / detection_util.h, src / fpdetect.c, src / parser.c, src / tag.c, src / tag.h, src / target -based / sf_attribute_table.y, tools / u2spewfoo / u2spewfoo.c: Prise en charge de la capture de session unique via l'option de règle de tag. Consigner tous les paquets au même endroit que l'alerte originale. Activer le marquage sur les règles de réussite.
• src /: préprocesseurs dynamiques / imap / snort_imap.c, préprocesseurs dynamiques / imap / snort_imap.h, préprocesseurs dynamiques / pop / snort_pop.c, préprocesseurs dynamiques / pop / snort_pop.h, préprocesseurs dynamiques / smtp / snort_smtp.c, préprocesseurs-dynamiques / smtp / snort_smtp.h, file-process / file_api.h, processus-de-fichier / file_mime_process.c, préprocesseurs / str_search.c, préprocesseurs / str_search.h, sfutil / bnfa_search.c: Ajoutez une recherche de limite de mime avec état lorsque divisée entre les paquets.
• src / préprocesseurs / HttpInspect / client / hi_client.c: Modifie la recherche de l'uri pour démarrer à partir de la fin de la méthode au lieu du début de la charge utile.
• configure.in, doc / README.file, doc / snort_manual.pdf, src / parser.c, src / preprocids.h, src / snort.c, src / util.c, src / detection-plugins / .cvsignore, src /dynamic-examples/Makefile.am, src / plugins-dynamiques / sf_engine / .cvsignore, src / preprocesseurs-dynamiques / Makefile.am, src / preprocesseurs-dynamiques / fichier / Makefile.am, src / preprocesseurs-dynamiques / fichier / file_agent.c, src / dynamic-préprocesseurs / fichier / file_agent.h, src / préprocesseurs-dynamiques / fichier / file_event_log.c, src / préprocesseurs-dynamiques / fichier / file_event_log.h, src / dynamic-preprocessors / fichier / file_inspect_config. c, src / préprocesseurs-dynamiques / fichier / fichier_inspect_config.h, src / préprocesseurs-dynamiques / fichier / file_sha.c, src / préprocesseurs-dynamiques / fichier / file_sha.h, src / préprocesseurs-dynamiques / fichier / sf_file.dsp, src / dynamic-préprocesseurs / fichier / spp_file.c, src / préprocesseurs-dynamiques / fichier / spp_file.h, src / préprocesseurs-dynamiques / sf_dynamic_initialize / sf_dynamic_initialize.dsp, src / file-process / Makefile.am, src / file- process / circular_buffer.c, src / file-process / circular_buffer.h, src / fichier -processus / fichier_api.h, src / fichier-processus / fichier_capture.c, src / fichier-processus / fichier_capture.h, src / fichier-processus / fichier_mempool.c, src / fichier-processus / fichier_mempool.h, src / fichier -process / file_resume_block.c, src / file-process / file_service.c, src / file-process / file_service.h, src / file-process / fichier_service_config.c, src / file-process / fichier_service_config.h, src / fichier-processus / fichier_stats.c, src / fichier-processus / fichier_stats.h, src / file-process / libs / fichier_config.c, src / fichier-processus / libs / fichier_config.h, src / fichier-processus / libs / fichier_identifier.c, src / fichier-processus / libs / fichier_identifier.h, src / file-process / libs / file_lib. c, src / fichier-processus / libs / fichier_lib.h, src / fichier-processus / libs / fichier_sha256.h, outils / Makefile.am, outils / file_server / Makefile.am, outils / file_server / README.file_server, outils / file_server / file_server.c: Ajouter une fonction de capture de fichier et introduire le préprocesseur d'inspection de fichier
• src / preprocessors / Stream5 / snort_stream5_tcp.c: Erreur d'analyse s'il manque des spécificateurs de direction. Merci à Bram Fabeg pour le rapport.
• src / ipv6_port.h: Supprime la macro en double pour GET_ORIG_IPH_PROTO.
• doc /: README.decode, README.gre, README.mpls, snort_manual.pdf, snort_manual.tex: mise à jour du manuel et d'autres documents liés à la tunnellisation. Merci à Jason Poley de l'avoir noté.
• src / parser.c: pas si silencieusement ignorer les métadonnées de service en double.
• src /: log.c, mempool.c, analyseur.c, snort.c, util.c, plugins-de-détection / sp_ip_tos_check.c, plugins-de-détection / sp_pattern_match.c, detection-plugins / sp_replace.c, detection-plugins / sp_session.c, détection-plugins / sp_tcp_win_check.c, préprocesseurs dynamiques / dns / spp_dns.c, préprocesseurs dynamiques / ftptelnet / pp_ftp.c, préprocesseurs dynamiques / ftptelnet / snort_ftptelnet.c, préprocesseurs dynamiques / sdf / sdf_pattern_match.c, output-plugins / spo_log_ascii.c, plugins de sortie / spo_log_tcpdump.c, préprocesseurs / HttpInspect / utils / hi_paf.c, préprocesseurs / Stream5 / snort_stream5_tcp.c: Remplace les appels bzero et index obsolètes. Crédits à Bill Parker
• src / dynamic-preprocessors /: smtp / snort_smtp.c, ssl / spp_ssl.c, libs / ssl.c, libs / ssl.h: vérifie le type SSL uniquement lorsque l'établissement de liaison SSL n'est pas terminé. Ne pas vérifier pour le type dans les données SSL. Merci à Bram Fabeg pour avoir signalé cela.
• src / préprocesseurs /: HttpInspect / server / hi_server.c, HttpInspect / server / hi_server_norm.c, Stream5 / snort_stream5_tcp.c: vérifie uniquement le jeu de caractères une fois par corps de réponse; Ne définissez le jeu de caractères qu'une seule fois par jeu de caractères =
• src / profiler.c: Correction d'un problème lors de la lecture de pcaps à partir de la ligne de commande et en utilisant plusieurs politiques et --pcap-reset.
• src / detection-plugins / detection_options.c: Ne comptez pas le temps de perfusion RTN en temps de perfusion OTN. Crédits à Reinoud pour avoir signalé cela.
• doc / README.flowbits: Correction d'une faute de frappe dans les exemples de flowbits isnotset
• src / snort.c, src / snort.h, src / util.c, snort.8, doc / snort_manual.pdf, doc / snort_manual.tex: ajout d'un commutateur de ligne de commande --no-interface-pidfile à snort.
• src / preprocessors /: spp_stream5.c, Stream5 / stream5_common.h: Statistiques de sortie de Stream mises à jour pour utiliser 'filtré' au lieu d'être lâché.
• src /: detection_util.h, préprocesseurs-dynamiques / sip / spp_sip.c: Ne pas mettre les buffers sip / http à zéro
• src / dynamic-plugins / sf_engine / sf_snort_plugin_api.c: incompatibilité de retour si le tampon http demandé n'a pas été défini
• src / snort.c: correction de bogues: capture des données de paquets pour sigabrt et sigbus
• doc / README.dcerpc2, doc / snort_manual.pdf, doc / snort_manual.tex, etc / gen-msg.map, préproc_rules / préprocesseur.rules, src / active.c, src / active.h, src / encoder.c, src / encode.h, src / generators.h, src / plugins-dynamiques / sf_dynamic_plugins.c, src / plugins-dynamiques / sf_dynamic_preprocessor.h, src / dynamic-préprocesseurs / dcerpc2 / dce2_co.c, src / dynamic-preprocessors / dcerpc2 / dce2_config.c, src / préprocesseurs-dynamiques / dcerpc2 / dce2_config.h, src / préprocesseurs-dynamiques / dcerpc2 / dce2_event.c, src / préprocesseurs-dynamiques / dcerpc2 / dce2_event.h, src / préprocesseurs-dynamiques / dcerpc2 / dce2_memory.c, src / dynamic-préprocesseurs / dcerpc2 / dce2_memory.h, src / préprocesseurs-dynamiques / dcerpc2 / dce2_smb.c, src / préprocesseurs-dynamiques / dcerpc2 / dce2_smb.h, src / préprocesseurs-dynamiques / dcerpc2 / dce2_stats. h, src / préprocesseurs-dynamiques / dcerpc2 / snort_dce2.c, src / préprocesseurs-dynamiques / dcerpc2 / snort_dce2.h, src / préprocesseurs-dynamiques / dcerpc2 / spp_dce2.c, src / préprocesseurs-dynamiques / dcerpc2 / spp_dce2.h, src / préprocesseurs dynamiques / dcerpc2 / includes / smb.h, src / dyn amic-preprocessors / ftptelnet / snort_ftptelnet.c, src / préprocesseurs-dynamiques / imap / snort_imap.c, src / préprocesseurs-dynamiques / pop / snort_pop.c, src / préprocesseurs-dynamiques / smtp / snort_smtp.c, src / file- process / file_api.h, src / file-process / fichier_mime_process.c, src / file-process / file_service.

  c, src / fichier-processus / libs / fichier_identifier.c, src / fichier-processus / libs / fichier_identifier.h, src / fichier-processus / libs / fichier_lib.c, src / file-process / libs / file_lib .h, src / préprocesseurs / snort_httpinspect.c, src / préprocesseurs / Stream5 / snort_stream5_tcp.c: Prise en charge des fichiers SMB

Nouveautés dans la version 2.9.5.6:

• src/preprocessors/Stream5/snort_stream5_tcp.c: add NULL vérifie les préprocesseurs qui vérifient le PAF avant de vérifier la présence d'une session tcp réelle
• src / detection-plugins /: sp_byte_check.c, sp_byte_jump.c, sp_isdataat.c, sp_pattern_match.c: Teste si la distance et / ou le décalage extraits par octet sont dans les limites du tampon de recherche. Merci à Nathan Fowler pour avoir noté le problème.
• src / préprocesseurs / HttpInspect / client / hi_client.c: efface la mémoire tampon de normalisation des cookies pour éviter un déréférencement nul accidentel dans une requête pipelinée. Merci à Michael Galapchuk d'avoir signalé le problème.

Quoi de neuf dans la version 2.9.5.5:

• Améliorations:
• Problème d'adresse avec le préprocesseur SMTP et la configuration ignore_tls_data pour arrêter correctement l'inspection après le cryptage d'une session SMTP.
• Désactiver toutes les évaluations de règles (par opposition aux règles simples avec des modèles rapides) pour les paquets sur une session précédemment bloquée.
• Corrigé lorsque le préprocesseur de perfmon écrit des statistiques pour se produire dès que les critères de temps et de nombre de paquets sont remplis.
• Appliquez les mêmes restrictions sur les PCRE relatifs pour les tampons HTTP à partir des règles de bibliothèques partagées comme cela existait déjà avec les règles de texte.

Nouveautés dans la version 2.9.5.3:

• Améliorations:
• Améliorations des performances pour éliminer certains travaux inutiles, réduire la taille des structures de données et nettoyer le traitement des buffers normalisés HTTP.
• Limitez le nombre de connexions attendues (par exemple, canal de données FTP) pour empêcher la croissance de la mémoire
• Résolution du problème lié au rechargement des tables de recherche de réputation lorsque d'autres adresses sont ajoutées.
• Problème d'adresse avec blocage potentiel lors de l'arrêt du thread de traitement du rechargement de la configuration du socket de contrôle.

Quoi de neuf dans la version 2.9.4.6:

• Prise en charge améliorée des verdicts DAQ de liste blanche et de liste noire pour le trafic encapsulé 6in4 et 4in6 (similaire à Teredo et GTP). Voir le manuel de Snort pour plus de détails sur la configuration.
• Évitez de modifier la longueur des options IP dans frag3 lors de la réception de fragments de décalage 0 dupliqués dotés d'options IP.

Quoi de neuf dans la version 2.9.4.5:

• Retirer les informations de proxy de Uri HTTP normalisé pour activer correspondance des motifs.
• Mettre à jour pour consigner les paquets dans unifified2 dans toutes les alertes sur les paquets réassemblés en flux.