Fehlerhafte IPS Signatur – Mails werden nicht zugestellt

Es kamen von zwei Kunden Hinweise auf eine fehlerhafte IPS Signatur, welche den SMTP Traffic gänzlich blockiert hatten. Der Fehler tritt seit dem IPS Signatur Update (Version 18.168) auf.

Die Log-Meldungen im Traffic-Monitor sehen wie folgt aus:

 

2021-08-19 11:04:29 [NAME-FIREWALL] Deny [SRC-IP] [DST-IP] smtp/tcp 37120 25 [SRC-NET] [DST-NET] IPS detected 191 63 [POLICY-NAME] proc_id="firewall" rc="301" msg_id="[ID]" tcp_info="offset 8 A 1006892989 win 60672" signature_name="SMTP Novell GroupWise Internet Agent Email Address Processing Buffer Overflow (CVE-2009-1636)" signature_cat="Buffer Overflow" signature_id="1111264" severity="4" sig_vers="18.168" Traffic

Auffällig war, dass beide Kunden eine weitere Anti-SPAM Appliance nutzen.

Wir empfehlen eine IPS Exception für die Signatur-ID: 1111264 und zusätzlich einen Case bei WatchGuard.

Die BOC leitet das Problem ebenfalls an WatchGuard weiter.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:


<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>