Suricata

Le moteur IDS / IPS de Suricata est multi-thread et prend en charge IPv6 en natif. Il est capable de charger les règles et signatures Snort existantes et prend en charge les outils Barnyard et Barnyard2.

Vous devriez essayer Suricata car il est hautement évolutif, il reconnaît les protocoles les plus courants et il peut identifier des milliers de types de fichiers, vérifier les sommes de contrôle MD5 et extraire des fichiers des archives.

Suricata est une application multiplate-forme pouvant être utilisée avec succès sur les systèmes d'exploitation GNU / Linux, BSD (FreeBSD et OpenBSD), Microsoft Windows et Mac OS X.

Le logiciel est uniquement distribué en tant qu’archive source, qui doit être configurée et compilée avant l’installation. Cependant, vous pouvez facilement l'installer à partir des référentiels de logiciels par défaut de votre distribution Linux. Les plates-formes matérielles 32 bits et 64 bits sont prises en charge.

Le meilleur logiciel IDS et IPS basé sur des technologies open source

Suricata est sans aucun doute le meilleur logiciel IDS (Intrusion Detection System) et IPS (Intrusion Prevention System) jamais conçu, alimenté uniquement par des technologies open source.

Nouveautés > dans cette version:

• Sécurité:
• CVE-2018-10242, CVE-2018-10244 (suricata)
• CVE-2018-10243 (libhtp)
• Modifications:
• Bogue n ° 2480: source de données du journal HTTP eve / destination flip (4.0.x)
• Bug n ° 2482: HTTP connect: différence de taux de détection entre 3.1 et 4.0.x
• Bogue n ° 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Bug n ° 2532: memleak: lors de l'utilisation de règles d'événement de couche d'application sans rouille
• Bogue n ° 2533: contournement de Suricata gzip unpacker (4.0.x)
• Bogue n ° 2534: Suricata arrête d'inspecter le flux TCP si un message TCP RST est respecté (4.0.x)
• Bogue n ° 2535: Les messages avec le niveau SC_LOG_CONFIG sont consignés dans syslog avec la priorité EMERG (4.0.x)
• Bogue n ° 2537: libhtp 0.5.27 (4.0.x)
• Bogue n ° 2540: getrandom empêche toute commande de démarrage de suricata sur d'autres systèmes d'exploitation ultérieurs (4.0.x)
• Bogue n ° 2544: lecture ssh hors limites (4.0.x)
• Bogue n ° 2545: enip de lecture hors limites (4.0.x)

Nouveautés dans la version 4.0.4:

• Sécurité:
• CVE-2018-6794 a été demandé pour le numéro 2440
• Modifications:
• Bogue n ° 2306: interblocages suricata 4 lors de la réouverture du journal de sortie ayant échoué
• Bogue n ° 2361: raccrochage de rechargement de règle
• Bogue n ° 2389: BUG_ON affirme dans AppLayerIncFlowCounter (4.0.x)
• Bogue n ° 2392: libhtp 0.5.26 (4.0.x)
• Bogue n ° 2422: [4.0.3] af_packet: une fuite qui (éventuellement) casse un canal en ligne
• Bogue n ° 2438: divers problèmes d'analyse de configuration
• Bogue n ° 2439: Correction de l'horodatage hors ligne lorsque l'horodatage de pcap est égal à zéro (4.0.x)
• Bogue n ° 2440: problème de contournement du moteur de flux (4.0.x)
• Bogue n ° 2441: analyseur syntaxique: une mauvaise entrée consomme le processeur et la mémoire (4.0.x)
• Bogue n ° 2443: débordement de tampon DNP3 memcpy (4.0.x)
• Bogue n ° 2444: rouille / dns: vidage du noyau avec un trafic mal formé (4.0.x)
• Bogue n ° 2445: http bodies / file_data: création d'un espace de création d'écriture hors limites

Nouveautés dans la version:

• Fonctionnalité # 2245: décodeur pour le trafic ieee802.1AH
• Bug n ° 798: stats.log dans config yaml - Ajoute l'option - manquant
• Bogue n ° 891: detect-engine.profile n'écarte pas les valeurs incorrectes - suricata.yaml
• Bug n ° 961: analyse de la variable de paquets en attente max
• Bogue n ° 1185: napatech: avertissement de cppcheck
• Bogue n ° 2215: Evénements perdus lors de l'écriture sur un socket unix
• Bogue n ° 2230: Valgrind memcheck - 4.0.0-dev (rev 1180687)
• Bogue n ° 2250: détecter: mélanger byte_extract et isdataat mène à FP & FN
• Bogue n ° 2263: les correspondances de contenu sont ignorées lors de l'utilisation de dns_query sur le trafic udp
• Bogue n ° 2274: ParseSizeString dans util-misc.c: déréférencement de pointeur nul
• Bogue n ° 2275: ConfGetInt dans conf.c: déréférencement du pointeur NULL
• Bug # 2276: conf: déréférencement du pointeur NULL dans CoredumpLoadConfig
• Bug n ° 2293: règles: depth & lt; règles de contenu non rejetées
• Bogue n ° 2324: erreur de segmentation dans http_start (4.0.x)
• Bogue n ° 2325: Segfaults de Suricata sur ICMP et vérification de flowint (4.0.x)

Nouveautés dans la version 4.0.1:

• Détection améliorée:
• Sur la base des commentaires précieux des équipes de rédaction de règles d’Emerging Threats et de Positive Technologies, nous avons ajouté et amélioré de nombreux mots-clés de règles pour l’inspection des protocoles HTTP, SSH et autres. Mats Klepsland de NorCERT a apporté des ajouts au TLS, notamment le décodage, la journalisation et la correspondance des numéros de série TLS. De plus, Suricata permet désormais aux rédacteurs de règles de spécifier qui est la cible dans une signature. Cette information est utilisée dans la journalisation EVE JSON pour donner plus de contexte aux alertes.
• TLS amélioré, NFS ajouté:
• Plus sur le côté TLS: une nouvelle fonctionnalité majeure est la prise en charge de STARTTLS dans SMTP et FTP. Les sessions TLS seront désormais enregistrées dans ces cas. Plus de bonté de Mats Klepsland. En outre, l'enregistrement de reprise de session TLS est désormais pris en charge grâce au travail de Ray Ruvinskiy. Des améliorations supplémentaires à la journalisation TLS ont été apportées par Paulo Pacheco.
• Le décodage, la journalisation et l'extraction de fichiers NFS ont été ajoutés dans le cadre du support expérimental Rust. Lisez la suite pour plus d'informations sur Rust.
• Plus EVE JSON:
• EVE est étendu de plusieurs manières ...
• dans le cas du trafic encapsulé, les adresses IP et les ports internes et externes sont consignés
• la fonction "vars" enregistre les flux et autres vars. Cela peut également être utilisé pour enregistrer les données extraites du trafic en utilisant une instruction PCRE dans les règles
• EVE peut maintenant être pivoté en fonction de l'heure
• EVE a été étendu pour éventuellement enregistrer les corps de requête et / ou de réponse HTTP
• l'enregistrement de flux (partiel) est ajouté aux alertes.
• La fonctionnalité «vars» est l’une des principales améliorations, car il est désormais possible pour une signature d’extraire avec précision des informations pour la journalisation. Par exemple, une signature peut extraire une version de logiciel annoncée ou d'autres informations telles que le destinataire d'un courrier électronique. [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Premier pas vers un avenir plus sûr:
• C'est la première version dans laquelle nous avons implémenté des parties dans le langage Rust en utilisant le framework Nom parser. Ce travail s'inspire de Pierre Chiffliers (ANSSI), conférence sur SuriCon 2016 (pdf). En compilant avec -enable-rust, vous obtenez un analyseur NFS de base et une ré-implémentation de l'analyseur DNS. Les commentaires à ce sujet sont très appréciés.
• Le support de Rust est encore expérimental, car nous continuons à explorer son fonctionnement, ses performances et ce qu'il faudra pour le supporter dans la communauté. De plus, nous avons inclus le travail des analyseurs de rouille Pierre Chiffliers. Ceci utilise des «crates» d'analyseur de Rust externes et est activé en utilisant -enable-rust-experimental. Au départ, cela ajoute un analyseur NTP.
• Sous le capot:
• Une mise à jour majeure du moteur de flux TCP est incluse. Cela devrait permettre d'améliorer les performances et la configuration, en particulier en mode IPS. Les premières étapes de la récupération TCP GAP ont été effectuées, avec des implémentations pour DNS et NFS.
• Pour les développeurs, cette version facilite l’extension du moteur de détection avec des mots-clés très performants. L'ajout d'un nouveau mot clé très performant à l'aide de la correspondance multi-modèle ne nécessite désormais que quelques lignes de code.
• Documentation:
• David Wharton, de SecureWorks, a créé une section dans la documentation pour les rédacteurs de règles ayant une expérience dans Snort. Il documente les modifications pertinentes pour l'écriture de règles.
• Prochaines étapes:
• Sur la base des commentaires reçus, nous nous attendons à une version 4.0.1 dans un mois environ. Ensuite, nous commencerons à travailler sur la prochaine version majeure, qui est la 4.1. Ceci est prévu pour la fin de l'automne, ETA avant SuriCon à Prague.

Nouveautés dans la version 4.0.0:

• Détection améliorée:
• Sur la base des commentaires précieux des équipes de rédaction de règles d’Emerging Threats et de Positive Technologies, nous avons ajouté et amélioré de nombreux mots-clés de règles pour l’inspection des protocoles HTTP, SSH et autres. Mats Klepsland de NorCERT a apporté des ajouts au TLS, notamment le décodage, la journalisation et la correspondance des numéros de série TLS. De plus, Suricata permet désormais aux rédacteurs de règles de spécifier qui est la cible dans une signature. Cette information est utilisée dans la journalisation EVE JSON pour donner plus de contexte aux alertes.
• TLS amélioré, NFS ajouté:
• Plus sur le côté TLS: une nouvelle fonctionnalité majeure est la prise en charge de STARTTLS dans SMTP et FTP. Les sessions TLS seront désormais enregistrées dans ces cas. Plus de bonté de Mats Klepsland. En outre, l'enregistrement de reprise de session TLS est désormais pris en charge grâce au travail de Ray Ruvinskiy. Des améliorations supplémentaires à la journalisation TLS ont été apportées par Paulo Pacheco.
• Le décodage, la journalisation et l'extraction de fichiers NFS ont été ajoutés dans le cadre du support expérimental Rust. Lisez la suite pour plus d'informations sur Rust.
• Plus EVE JSON:
• EVE est étendu de plusieurs manières ...
• dans le cas du trafic encapsulé, les adresses IP et les ports internes et externes sont consignés
• la fonction "vars" enregistre les flux et autres vars. Cela peut également être utilisé pour enregistrer les données extraites du trafic en utilisant une instruction PCRE dans les règles
• EVE peut maintenant être pivoté en fonction de l'heure
• EVE a été étendu pour éventuellement enregistrer les corps de requête et / ou de réponse HTTP
• l'enregistrement de flux (partiel) est ajouté aux alertes.
• La fonctionnalité «vars» est l’une des principales améliorations, car il est désormais possible pour une signature d’extraire avec précision des informations pour la journalisation. Par exemple, une signature peut extraire une version de logiciel annoncée ou d'autres informations telles que le destinataire d'un courrier électronique. [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Premier pas vers un avenir plus sûr:
• C'est la première version dans laquelle nous avons implémenté des parties dans le langage Rust en utilisant le framework Nom parser. Ce travail s'inspire de Pierre Chiffliers (ANSSI), conférence sur SuriCon 2016 (pdf). En compilant avec -enable-rust, vous obtenez un analyseur NFS de base et une ré-implémentation de l'analyseur DNS. Les commentaires à ce sujet sont très appréciés.
• Le support de Rust est encore expérimental, car nous continuons à explorer son fonctionnement, ses performances et ce qu'il faudra pour le supporter dans la communauté. De plus, nous avons inclus le travail des analyseurs de rouille Pierre Chiffliers. Ceci utilise des «crates» d'analyseur de Rust externes et est activé en utilisant -enable-rust-experimental. Au départ, cela ajoute un analyseur NTP.
• Sous le capot:
• Une mise à jour majeure du moteur de flux TCP est incluse. Cela devrait permettre d'améliorer les performances et la configuration, en particulier en mode IPS. Les premières étapes de la récupération TCP GAP ont été effectuées, avec des implémentations pour DNS et NFS.
• Pour les développeurs, cette version facilite l’extension du moteur de détection avec des mots-clés très performants. L'ajout d'un nouveau mot clé très performant à l'aide de la correspondance multi-modèle ne nécessite désormais que quelques lignes de code.
• Documentation:
• David Wharton, de SecureWorks, a créé une section dans la documentation pour les rédacteurs de règles ayant une expérience dans Snort. Il documente les modifications pertinentes pour l'écriture de règles.
• Prochaines étapes:
• Sur la base des commentaires reçus, nous nous attendons à une version 4.0.1 dans un mois environ. Ensuite, nous commencerons à travailler sur la prochaine version majeure, qui est la 4.1. Ceci est prévu pour la fin de l'automne, ETA avant SuriCon à Prague.

Nouveautés dans la version 3.2.1:

• Fonctionnalité # 1951: Autoriser la construction sans libmagic / file
• Fonctionnalité # 1972: SURICATA ICMPv6 inconnu type 143 pour rapport MLDv2
• Feature # 2010: Suricata doit confirmer la présence de SSSE3 lors de l’exécution avec la prise en charge d’Hyperscan
• Bogue n ° 467: compilation avec unittests et validation du débogage
• Bogue n ° 1780: balises VLAN non transférées en mode inline afpacket
• Bogue n ° 1827: Mpm AC ne parvient pas à allouer de la mémoire
• Bogue n ° 1843: Mpm Ac: débordement int pendant init
• Bogue n ° 1887: pcap-log définit snaplen à -1
• Bug # 1946: impossible d’obtenir des informations de réponse dans certaines situations
• Bug # 1973: Suricata ne démarre pas à cause du socket unix
• Bug # 1975: Fuite de mémoire sur les hostbits / xbits
• Bug # 1982: tls: événement d'enregistrement invalide déclenché sur un trafic valide
• Bug # 1984: http: problème de détection de protocole si les deux côtés sont malformés
• Bug # 1985: pcap-log: fuites de mémoire mineures
• Bug n ° 1987: log-pcap: fichiers pcap créés avec des snaplen invalides
• Bug # 1988: bogue tls_cert_subject
• Bug # 1989: la détection du protocole SMTP est sensible à la casse
• Bug # 1991: Suricata ne peut pas analyser les ports: "! [1234, 1235]" =
• Bug # 1997: tls-store: bogue qui fait planter Suricata
• Bug # 2001: gestion des réponses DNS non sollicitées.
• Bug n ° 2003: le corps BUG_ON contient parfois du code à effet latéral
• Bug # 2004: Calcul du hachage de fichier non valide lorsque le hachage forcé est utilisé
• Bug # 2005: tailles incohérentes entre requête, capture et longueur http
• Bug # 2007: smb: la détection de protocole vérifie juste toserver
• Bug # 2008: Suricata 3.2, pcap-log ne fonctionne plus à cause de timestamp_pattern PCRE
• Bug # 2009: Suricata ne parvient pas à obtenir les paramètres de déchargement lorsqu’il est exécuté en dehors de la racine
• Bug # 2012: dns.log ne consigne pas les requêtes sans réponse
• Bug # 2017: Champs manquants dans le journal EVE
• Bogue n ° 2019: problème d'évasion de défragmentation IPv4
• Bogue n ° 2022: dns: lecture de mémoire liée

Nouveautés dans la version 3.2:

• Gros changements:
• contourner
• pré-filtre - mots-clés de paquets rapides
• Améliorations TLS
• Ajouts de protocoles SCADA / ICS: DNP3 CIP / ENIP
• SHA1 / SHA256 pour la correspondance de fichiers, la journalisation et l'extraction
• Documentation Sphinx
• Modifications visibles plus petites:
• Déchargement du NIC désactivé par défaut
• socket de commande unix activé par défaut
• Statistiques de la couche d’application
• Sous le capot:
• simplification des threads (log api + plus de redémarrages de threads)
• Optimisation du gestionnaire de flux
• simplifier l'ajout de mots-clés
• luajit améliorations avec la gestion de la mémoire dans les grands déploiements

Nouveautés dans la version 3.1.2:

• Fonctionnalité # 1830: prise en charge du "tag" dans le journal de veille
• Fonctionnalité # 1870: rendre le flux_id enregistré plus unique
• Fonctionnalité # 1874: prise en charge de Cisco Fabric Path / DCE
• Feature # 1885: eve: ajout d’une option pour consigner tous les paquets supprimés
• Fonctionnalité # 1886: dns: filtrage de sortie
• Bogue n ° 1849: alerte de somme de contrôle ICMPv6 incorrecte si Ethernet FCS est présent
• Bogue n ° 1853: correction du tampon dce_stub_data
• Bogue n ° 1854: unifié2: consignation des paquets marqués ne fonctionnant pas
• Bogue n ° 1856: Périphérique en mode PCAP introuvable
• Bogue n ° 1858: Beaucoup de TCP "option dupliquée / données de requête malformées DNS" après la mise à niveau de la version 3.0.1 vers la version 3.1.1
• Bug # 1878: dns: crash lors de la journalisation des enregistrements sshfp
• Bogue n ° 1880: les paquets d’erreur icmpv4 peuvent entraîner une détection manquée dans tcp / udp
• Bug # 1884: libhtp 0.5.22

Nouveautés dans la version 3.1.1:

• Fonctionnalité # 1775: Lua: support SMTP
• Bogue n ° 1419: problèmes de gestion des transactions DNS
• Bogue n ° 1515: problème avec Threshold.config lors de l'utilisation de plusieurs adresses IP
• Bogue n ° 1664: les requêtes DNS non répétées ne sont pas consignées lorsque le flux est épuisé
• Bogue n ° 1808: Impossible de définir la priorité du thread après avoir supprimé les privilèges
• Bogue n ° 1821: Suricata 3.1 ne parvient pas à démarrer sous CentOS6
• Bogue n ° 1839: suricata 3.1 configure.ac dit & gt; = libhtp-0.5.5, mais & gt; = libhtp-0.5.20 requis
• Bug n ° 1840: -list-keywords et -list-app-layer-protos ne fonctionnent pas
• Bug # 1841: libhtp 0.5.21
• Bogue n ° 1844: netmap: le mode IPS ne définit pas la deuxième iface en mode promisc
• Bogue n ° 1845: blocage lors de la désactivation d'un protocole de couche d'application lorsqu'il est encore activé.
• Optimisation # 1846: af-packet: améliore la logique de calcul des threads
• Optimisation # 1847: règles: ne pas avertir des fichiers vides

Nouveautés dans la version 3.0.1:

• options de détection améliorées, y compris multi-tenancy et xbits
• performances et évolutivité nettement améliorées
• beaucoup plus de précision et de robustesse
• Les capacités de script Lua se sont considérablement développées
• nombreuses améliorations de la sortie, y compris beaucoup plus de JSON
• Prise en charge de la méthode de capture NETMAP, particulièrement intéressante pour les utilisateurs de FreeBSD
• Inspection SMTP et extraction de fichiers

Nouveautés dans la version 3.0:

• options de détection améliorées, y compris multi-tenancy et xbits
• performances et évolutivité nettement améliorées
• beaucoup plus de précision et de robustesse
• Les capacités de script Lua se sont considérablement développées
• nombreuses améliorations de la sortie, y compris beaucoup plus de JSON
• Prise en charge de la méthode de capture NETMAP, particulièrement intéressante pour les utilisateurs de FreeBSD
• Inspection SMTP et extraction de fichiers

Nouveautés dans la version 2.0.9:

• Modifications:
• Bogue n ° 1385: problème d'analyse du trafic DCERPC
• Bogue n ° 1391: problème d’analyse http uri
• Bogue n ° 1383: Problème de fenêtre tcp midstream
• Bogue n ° 1318: un problème de synchronisation de thread dans streamTCP
• Bogue n ° 1375: option de régression dans les mots-clés de la liste
• Bogue n ° 1387: le fichier pcap se bloque sur les systèmes sans support atomique
• Bogue n ° 1395: Echec de la commande de socket unix dix-counters
• Optimisation # 1376: la liste des fichiers n’est pas nettoyée
• Sécurité:
• Le problème d'analyse DCERPC a été affecté à CVE-2015-0928.

Nouveautés dans la version 2.0.7:

• Modifications:
• Bogue n ° 1385: problème d'analyse du trafic DCERPC
• Bogue n ° 1391: problème d’analyse http uri
• Bogue n ° 1383: Problème de fenêtre tcp midstream
• Bogue n ° 1318: un problème de synchronisation de thread dans streamTCP
• Bogue n ° 1375: option de régression dans les mots-clés de la liste
• Bogue n ° 1387: le fichier pcap se bloque sur les systèmes sans support atomique
• Bogue n ° 1395: Echec de la commande de socket unix dix-counters
• Optimisation # 1376: la liste des fichiers n’est pas nettoyée
• Sécurité:
• Le problème d'analyse DCERPC a été affecté à CVE-2015-0928.

Nouveautés dans la version 2.0.6:

• Bogue n ° 1364: problèmes d'évasion
• Bogue n ° 1337: output-json: journalisation en double
• Bogue n ° 1325: la détection de tls mène aux écarts de séquence de réassemblage de flux tcp (IPS)
• Bogue n ° 1192: Suricata ne compile pas sous OS X / Clang en raison de la redéfinition des fonctions de chaîne
• Bug # 1183: pcap: avertissement de cppcheck

Nouveautés dans la version 2.0.5:

• Bogue n ° 1190: le mot clé http_header ne correspond pas lorsque SYN | ACK et ACK manquants
• Bogue n ° 1246: Le socket de domaine Unix de sortie EVE ne fonctionne pas
• Bug # 1272: Segfault dans libhtp 0.5.15
• Bogue n ° 1298: Problème d'analyse syntaxique des mots-clés de stockage
• Bogue n ° 1303: amélioration de la détection des flux incorrects dans la fenêtre
• Bogue n ° 1304: amélioration du traitement des flux de valeurs SACK incorrectes
• Bogue n ° 1305: correction de la réutilisation des sessions TCP pour les sessions ssh / ssl
• Bogue n ° 1307: byte_extract, dans une combinaison ne fonctionnant pas
• Bogue n ° 1326: capture de pcre pkt / flowvar interrompue pour les correspondances non relatives
• Bogue n ° 1329: règle non valide en cours de traitement et de chargement
• Bogue n ° 1330: Erreur de comptabilité de memuse de flux (2.0.x)

Nouveautés dans la version 2.0.4:

• Modifications:
• Bogue n ° 1276: problème de défragmentation ipv6 avec les en-têtes de routage
• Bogue n ° 1278: problème de l'analyseur de bannière ssh
• Bogue n ° 1254: crash du traitement de sig sur un mot clé rev malformé
• Bogue n ° 1267: problème avec la journalisation ipv6
• Bogue n ° 1273: Lua - http.request_line ne fonctionne pas
• Bogue n ° 1284: Le mode AF_PACKET IPS ne consigne pas les gouttes et transmet le problème en ligne
• Sécurité:
• CVE-2014-6603

Nouveautés dans la version 2.0.3:

• Bogue n ° 1236: correction d’un incident potentiel dans l'analyse HTTP
• Bogue n ° 1244: problème de défragmentation ipv6
• Bogue n ° 1238: évasion possible dans stream-tcp-réassemble.c
• Bogue n ° 1221: la dernière valeur de la table de conversion en minuscule est manquante
• Support n ° 1207: impossible de compiler sur CentOS 5 x64 avec l'option -enable-profiling
• Mise à jour des libhtp groupés à 0.5.15

Nouveautés dans la version 2.0 RC1:

• Une sortie JSON unifiée a été ajoutée. La gestion des VLAN a été améliorée.
• Le support QinQ a été ajouté.
• Une option de ligne de commande pour remplacer les paramètres de configuration a été ajoutée.
• La gestion ICMPv6 a été améliorée.
• Des Memcaps pour DNS et la gestion HTTP ont été ajoutés.
• Plusieurs améliorations ont été apportées à la capture de paquets.
• Un mode d’exécution NSM optimisé a été ajouté.
• De nombreux autres problèmes ont été résolus.

Nouveautés dans la version 2.0 bêta 2:

• La prise en charge du réseau local virtuel a été améliorée.
• Les options IP Defrag ont été ajoutées.
• Des options ont été ajoutées pour activer et désactiver les analyseurs de protocole.
• La détection du protocole a été améliorée.
• Des améliorations IPv6 ont été apportées.
• L’inspection HTTP a été améliorée.
• Les options de profilage ont été étendues.
• Beaucoup d’autres modifications ont été apportées.

Nouveautés dans la version 1.4.7:

• Corrections:
• Bogue n ° 996: mot-clé de tag: les sessions de marquage par heure sont interrompues
• bogue n ° 1000: détection tardive des seuils inits avant de_ctx
• Bogue n ° 1001: problème de chargement de ip_rep avec plusieurs valeurs pour une seule adresse IP
• Bogue n ° 1022: StreamTcpPseudoPacketSetupHeader: la logique de permutation de port n'est pas cohérente
• Bogue n ° 1047: detect-engine.profile - Analyse syntaxique personnalisée des valeurs
• Bug # 1063: classement des règles avec plusieurs vars

Nouveautés dans la version 1.4.6:

• Bug 958: enregistrements SSL malformés entraînant un blocage. Rapporté par Sebastian Roschke. CVE-2013-5919.
• Bug 971: lecture de matrices de motifs en dehors de la mémoire.
• Bug 965: améliorez la gestion du contenu négatif. Rapporté par Will Metcalf.
• Bug 937: correction du décodage IPv6-in-IPv6.
• Bug 934: améliorer l'analyse des adresses.
• Bug 969: corrige unified2 sans enregistrer les paquets balisés.

Nouveautés dans la version 1.4.5:

• Les problèmes IPv6 ont été corrigés.