Suricata

• Сигурност:
• CVE-2018-10242, CVE-2018-10244 (изненада)
• CVE-2018-10243 (libhtp)
• Промени:
• Грешка # 2480: http източник на данните от дневника / dest flip (4.0.x)
• Грешка # 2482: HTTP свързване: разлика в степента на откриване между 3.1 и 4.0.x
• Грешка # 2531: yaml: ConfYamlHandleInclude memleak (4.0.x)
• Грешка # 2532: memleak: при използване на правила за събитие на слой на приложение без ръжда
• Грешка # 2533: байпас на базата данни на Suricata gzip (4.0.x)
• Грешка # 2534: Suricata спира проверката на TCP потока, ако е изпълнен TCP RST (4.0.x)
• Грешка # 2535: Съобщенията с ниво SC_LOG_CONFIG се записват в syslog с приоритет EMERG (4.0.x)
• Грешка # 2537: libhtp 0.5.27 (4.0.x)
• Грешка # 2540: getrandom предотвратява всякакви начални команди в началния екран на операционната система (4.0.x)
• Грешка # 2544: ssh от границите чете (4.0.x)
• Грешка # 2545: извадете от ограниченията чете (4.0.x)

Какво е новото във версия 4.0.4:

• Сигурност:
• CVE-2018-6794 е поискано за издаване # 2440
• Промени:
• Грешка # 2306: suricata 4 deadlocks по време на неуспешно отваряне на регистъра на изхода
• Грешка # 2361: презареждане на правилото
• Грешка # 2389: BUG_ON твърди в AppLayerIncFlowCounter (4.0.x)
• Грешка # 2392: libhtp 0.5.26 (4.0.x)
• Грешка # 2422: [4.0.3] af_packet: теч, който евентуално нарушава вградения канал
• Грешка # 2438: различни проблеми при конфигурирането на конфигурации
• Грешка # 2439: Фиксирайте времето за офлайн офлайн, когато времето за маркиране pcap е нула (4.0.x)
• Грешка # 2440: Проблем с байпас на потока от двигатели (4.0.x)
• Грешка # 2441: der parser: лошият вход консумира процесора и паметта (4.0.x)
• Грешка # 2443: препълване на буферния буфер DNP3 (4.0.x)
• Грешка # 2444: ръждясване / DNS: Изпълнение на ядрото с неправилен трафик (4.0.x)
• Грешка # 2445: http bodies / file_data: създаване на космическо пространство без граници

Какво е новото във версията:

• Характеристика # 2245: декодер за трафик ieee802.1AH
• Грешка # 798: stats.log в yaml конфиг - опция за добавяне - липсва
• Грешка # 891: detect-engine.profile не греши в неправилни стойности - suricata.yaml
• Грешка # 961: променливи параметри на променливите пакети
• Грешка # 1185: Намаляване: предупреждение cppcheck
• Грешка # 2215: Изгубени събития, написани на гнездото Unix
• Грешка # 2230: valgrind memcheck - 4.0.0-dev (rev 1180687)
• Грешка # 2250: Откриване: смесване byte_extract и isdataat води до FP & FN
• Грешка # 2263: Съответствието на съдържанието се пренебрегва, когато използвате dns_query за трафик udp
• Грешка # 2274: ParseSizeString в util-misc.c: Дереференция с нулев показалец
• Грешка # 2275: ConfGetInt в conf.c: Дереференция на NULL-указател
• Грешка # 2276: conf: Дереференция с нулев показалец в CoredumpLoadConfig
• Грешка # 2293: правила: дълбочина & lt; правилата за съдържанието не са отхвърлени
• Грешка # 2324: segfault в http_start (4.0.x)
• Грешка # 2325: Suricata segfaults на ICMP и flowint проверка (4.0.x)

Какво е новото във версия 4.0.1:

• Подобрено откриване:
• Въз основа на ценната обратна връзка от екипите за писане на правила в "Emerging Threats and Positive Technologies" добавихме и подобрихме много ключови думи за правилата за проверка на HTTP, SSH и други протоколи. Добавките на TLS бяха предоставени от Матс Клепсланд в NorCERT, включително декодиране, регистриране и съвпадение по серийни номера на TLS. Освен това Suricata сега позволява на авторите на правила да определят кой е целта в подписа. Тази информация се използва в регистрацията на EVE JSON, за да даде повече контекст със сигналите.
• TLS се подобри, добавя се NFS:
• Още от страната TLS: Основна нова функция е подкрепата за STARTTLS в SMTP и FTP. TLS сесии ще бъдат регистрирани в тези случаи. Повече доброта от Матс Клепсланд. Също така, регистрацията за възобновяване на сесиите на TLS вече се поддържа благодарение на работата на Ray Ruvinskiy. Допълнителни подобрения на TLS за регистриране бяха извършени от Paulo Pacheco.
• Декодирането на NFS, записването и извличането на файлове бяха добавени като част от експерименталната поддръжка на Rust. Прочетете нататък за повече информация за Rust.
• Още EVE JSON:
• EVE се разширява по няколко начина ...
• при капсулиран трафик се записват както вътрешните, така и външните IP адреси и пристанищата
• Устройствата за отчет на вар установяват потоци и други вар. Това може да се използва и за регистриране на данни, извлечени от трафик, като се използва декларация PCRE в правила
• Сега EVE може да се върти на базата на времето
• EVE бе разширен, за да влезете по избор в заявката за HTTP и / или в органите за отговор
• Записът (частичен) поток се добавя към записите за предупреждение.
• Устройството "vars" е едно от основните подобрения тук, тъй като сега е възможно подписът да извлича точно информация за регистрирането. Например, подписът може да извлече рекламирана версия на софтуера или друга информация, например получател на имейл. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Първата стъпка в по-безопасно бъдеще:
• Това е първото издание, в което сме внедрили части в Rust език, използвайки рамката на Nom анализаторите. Тази работа е вдъхновена от Пиер Чифлиърс (ANSSI), разговор в SuriCon 2016 (pdf). С компилирането с -enable-rust ще получите основен анализатор на NFS и реинсталация на анализа DNS. Обратната връзка по този въпрос е изключително ценена.
• Поддръжката на ръждата все още е експериментална, тъй като продължаваме да изследваме как функционира, изпълнява и какво ще предприеме, за да я подкрепи в общността. Освен това включихме работата на Pierre Chiffliers Rust parsers. Това използва външни Raster parser "каси" и се активира с помощта на -enable-rust-experimental. Първоначално това добавя NTP анализатор.
• Под капака:
• Включена е голяма актуализация на TCP потока на двигателя. Това трябва да доведе до по-добра производителност и по-малка конфигурация, особено в режим IPS. Бяха предприети първите стъпки в възстановяването на TCP GAP, с реализации за DNS и NFS.
• За разработчиците това издание прави разширяването на двигателя за откриване с ключови думи с висока ефективност много по-лесно. Добавянето на нова ключова дума с висока ефективност, използвайки съвпадение с множество шаблони, сега изисква само няколко реда код.
• Документация:
• Дейвид Уортън от SecureWorks създаде раздел в документацията за автори на правила, които имат опит в Snort. Той документира промени, които са от значение за написването на правила.
• Следващи стъпки:
• Въз основа на обратната информация, която ще получим, очакваме да направим версия 4.0.1 за около месец. Тогава ще започнем работа по следващата голяма версия, която е 4.1. Това е планирано за късна есен, ETA преди SuriCon в Прага.

Какво е новото във версия 4.0.0:

• Подобрено откриване:
• Въз основа на ценната обратна връзка от екипите за писане на правила в "Emerging Threats and Positive Technologies" добавихме и подобрихме много ключови думи за правилата за проверка на HTTP, SSH и други протоколи. Добавките на TLS бяха предоставени от Матс Клепсланд в NorCERT, включително декодиране, регистриране и съвпадение по серийни номера на TLS. Освен това Suricata сега позволява на авторите на правила да определят кой е целта в подписа. Тази информация се използва в регистрацията на EVE JSON, за да даде повече контекст със сигналите.
• TLS се подобри, добавя се NFS:
• Още от страната TLS: Основна нова функция е подкрепата за STARTTLS в SMTP и FTP. TLS сесии ще бъдат регистрирани в тези случаи. Повече доброта от Матс Клепсланд. Също така, регистрацията за възобновяване на сесиите на TLS вече се поддържа благодарение на работата на Ray Ruvinskiy. Допълнителни подобрения на TLS за регистриране бяха извършени от Paulo Pacheco.
• Декодирането на NFS, записването и извличането на файлове бяха добавени като част от експерименталната поддръжка на Rust. Прочетете нататък за повече информация за Rust.
• Още EVE JSON:
• EVE се разширява по няколко начина ...
• при капсулиран трафик се записват както вътрешните, така и външните IP адреси и пристанищата
• Устройствата за отчет на вар установяват потоци и други вар. Това може да се използва и за регистриране на данни, извлечени от трафик, като се използва декларация PCRE в правила
• Сега EVE може да се върти на базата на времето
• EVE бе разширен, за да влезете по избор в заявката за HTTP и / или в органите за отговор
• Записът (частичен) поток се добавя към записите за предупреждение.
• Устройството "vars" е едно от основните подобрения тук, тъй като сега е възможно подписът да извлича точно информация за регистрирането. Например, подписът може да извлече рекламирана версия на софтуера или друга информация, например получател на имейл. [Https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• Първата стъпка в по-безопасно бъдеще:
• Това е първото издание, в което сме внедрили части в Rust език, използвайки рамката на Nom анализаторите. Тази работа е вдъхновена от Пиер Чифлиърс (ANSSI), разговор в SuriCon 2016 (pdf). С компилирането с -enable-rust ще получите основен анализатор на NFS и реинсталация на анализа DNS. Обратната връзка по този въпрос е изключително ценена.
• Поддръжката на ръждата все още е експериментална, тъй като продължаваме да изследваме как функционира, изпълнява и какво ще предприеме, за да я подкрепи в общността. Освен това включихме работата на Pierre Chiffliers Rust parsers. Това използва външни Raster parser "каси" и се активира с помощта на -enable-rust-experimental. Първоначално това добавя NTP анализатор.
• Под капака:
• Включена е голяма актуализация на TCP потока на двигателя. Това трябва да доведе до по-добра производителност и по-малка конфигурация, особено в режим IPS. Бяха предприети първите стъпки в възстановяването на TCP GAP, с реализации за DNS и NFS.
• За разработчиците това издание прави разширяването на двигателя за откриване с ключови думи с висока ефективност много по-лесно. Добавянето на нова ключова дума с висока ефективност, използвайки съвпадение с множество шаблони, сега изисква само няколко реда код.
• Документация:
• Дейвид Уортън от SecureWorks създаде раздел в документацията за автори на правила, които имат опит в Snort. Той документира промени, които са от значение за написването на правила.
• Следващи стъпки:
• Въз основа на обратната информация, която ще получим, очакваме да направим версия 4.0.1 за около месец. Тогава ще започнем работа по следващата голяма версия, която е 4.1. Това е планирано за късна есен, ETA преди SuriCon в Прага.

Какво е новото във версия 3.2.1:

• Характеристика # 1951: Позволява изграждане без libmagic / файл
• Характеристика # 1972: SURICATA ICMPv6 неизвестен тип 143 за MLDv2 отчет
• Характеристика # 2010: Suricata трябва да потвърди присъствието на SSSE3 по време на изпълнение, когато е изградено с поддръжка на Hyperscan
• Грешка # 467: компилация с unittests & debug validation
• Грешка # 1780: Маркери VLAN, които не се препращат в режим в режим "афкакет",
• Грешка # 1827: Mpm AC не успее да разпредели паметта
• Грешка # 1843: Mpm Ac: int преливане по време на init
• Грешка # 1887: pcap-log се задейства до -1
• Грешка # 1946: в дадена ситуация не може да се получи информация за отговора
• Грешка # 1973: suricata не се стартира заради socket на UNIX
• Грешка # 1975: изтичане на памет на hostbits / xbits
• Грешка # 1982: tls: събитие с невалидни записи води до валиден трафик
• Bug # 1984: http: откриване на протокол, ако двете страни са неправилно формулирани
• Грешка # 1985: pcap-log: малки течове на памет
• Бутон # 1987: log-pcap: pcap файлове, създадени с невалиден snaplen
• Грешка # 1988: tls_cert_subject грешка
• Грешка # 1989: откриването на SMTP протокол е чувствителен към малки и големи букви
• Грешка # 1991: Suricata не може да анализира портове: "! [1234, 1235]"
• Bug # 1997: tls-store: бъг, който причинява срив на Suricata
• Грешка # 2001: Работа с нежелани отговори на DNS.
• Грешка # 2003: BUG_ON тялото понякога съдържа страничен ефект код
• Bug # 2004: Невалиден изчислителен хеш-файл при използване на хеш-сила
• Bug # 2005: Несъответстващи размери между заявка, улавяне и дължина на http
• Грешка # 2007: smb: откриването на протоколи просто проверява до сървъра
• Грешка # 2008: Suricata 3.2, pcap-log вече не работи поради timestamp_pattern PCRE
• Грешка # 2009: Suricata не може да изтегли настройките при изпълнение под не-root
• Грешка # 2012: dns.log не записва неподдавани въпроси
• Грешка # 2017: EVE лог липсващи полета
• Грешка # 2019: Проблем на измама с дефрагментиране по IPv4
• Грешка # 2022: DNS: изтеглена памет

Какво е новото във версия 3.2:

• Големи промени:
• байпас
• Предфилтър - бързи ключови думи за пакети
• Подобрения в TLS
• Допълнения към протокола SCADA / ICS: DNP3 CIP / ENIP
• SHA1 / SHA256 за съвпадение, записване и извличане на файлове
• Документация за сфинкса
• Видими по-малки промени:
• Разрязването на NIC е деактивирано по подразбиране
• командата socket на UNIX е активирана по подразбиране
• Статистика на слоя на приложението
• Под капака:
• опростяване на нишките (log api + не се рестартира повече)
• оптимизиране на мениджъра на потоци
• опростете добавянето на ключови думи
• Подобряване на работата на паметта при големи разгръщания

Какво е новото във версия 3.1.2:

• Характеристика # 1830: Подкрепете "таг" в дневника
• Характеристика # 1870: направи log_flow_id още по-уникален
• Характеристика # 1874: Поддръжка на Cisco Fabric Path / DCE
• Характеристика # 1885: eve: добавяне на опция за регистриране на всички изпуснати пакети
• Характеристика # 1886: DNS: филтриране на изхода
• Грешка # 1849: ICMPv6 неправилен сигнал за контролна сума, ако е налице Ethernet FCS
• Грешка # 1853: поправете буфера за dce_stub_data
• Грешка # 1854: unified2: регистрирането на маркираните пакети не работи
• Грешка # 1856: Устройството с режим PCAP не е намерено
• Грешка # 1858: Голяма част от TCP "дублирана опция / DNS форматирани данни за заявка" след надстройване от 3.0.1 на 3.1.1
• Грешка # 1878: DNS: срив при регистриране на sshfp записи
• Грешка # 1880: Пакетите с грешки icmpv4 могат да доведат до пропуснато откриване в tcp / udp
• Грешка # 1884: libhtp 0.5.22

Какво е новото във версия 3.1.1:

• Характеристика # 1775: Lua: SMTP поддръжка
• Грешка # 1419: Проблеми с обработката на DNS транзакции
• Грешка # 1515: Проблем с Threshold.config при използване на повече от една IP
• Грешка # 1664: Нереализирани заявки за DNS не са записани, когато потокът е изтекъл
• Грешка # 1808: Не може да се зададе приоритет на нишката след отпадане на привилегии
• Грешка # 1821: Suricata 3.1 не се стартира на CentOS6
• Грешка # 1839: suricata 3.1 configure.ac казва & gt; = libhtp-0.5.5, но & gt; = libhtp-0.5.20 се изисква
• Грешка # 1840: -отчети-ключови думи и -list-app-layer-protos не работи
• Грешка # 1841: libhtp 0.5.21
• Грешка # 1844: netmap: Режимът IPS не задава 2-ри, ако е в режим promisc
• Грешка # 1845: Срив при деактивиране на протокол на ниво приложение, когато той все още е активиран
• Оптимизация # 1846: af-пакет: подобрява логиката за изчисляване на конеца
• Оптимизация # 1847: правила: не предупреждавайте за празни файлове

Какво е новото във версия 3.0.1:

• подобрени опции за откриване, включително много наематели и xbits
• подобрена ефективност и мащабируемост
• много подобрена точност и здравина
• Луа способностите за скриптове се разшириха значително
• много подобрения на продукцията, включително много повече JSON
• Поддръжка на метода за заснемане на NETMAP, особено интересна за потребителите на FreeBSD
• SMTP проверка и извличане на файлове

Какво е новото във версия 3.0:

• Li>
• подобрена ефективност и мащабируемост
• много подобрена точност и здравина
• Луа способностите за скриптове се разшириха значително
• много подобрения на продукцията, включително много повече JSON
• Поддръжка на метода за заснемане на NETMAP, особено интересна за потребителите на FreeBSD
• SMTP проверка и извличане на файлове

Какво е новото във версия 2.0.9:

• Промени:
• Грешка # 1385: Проблем с трафика при DCERPC
• Грешка # 1391: Проблем при синхронизиране на http uri
• Проблем # 1383: TCP по средата на прозореца
• Грешка # 1318: Проблем със синхронизирането на нишка в streamTCP
• Грешка # 1375: Регресии в опцията за ключови думи
• Грешка # 1387: pcap файлът се задържа на системи без атомна поддръжка
• Грешка # 1395: отказ-броячи unix socket команда повреда
• Оптимизация # 1376: списъкът с файлове не се почиства
• Сигурност:
• Проблемът при синхронизиране с DCERPC е зададен на CVE-2015-0928.

Какво е новото във версия 2.0.7:

Какво е новото във версия 2.0.6:

• Грешка # 1364: проблеми при укриване на данъци
• Грешка # 1337: output-json: дублиране на записването
• Откриване на грешка # 1325: tls води до пропуски в последователността на обновяване на потока от tcp (IPS)
• Грешка # 1192: Suricata не се компилира на OS X / Clang поради предефиниране на низовите функции
• Грешка # 1183: pcap: предупреждение cppcheck

Какво е новото във версия 2.0.5:

• | Липсва ACK и ACK
• Грешка # 1246: Изходът EVE Unix домейн домейн не работи
• Грешка # 1272: Segfault в libhtp 0.5.15
• Грешка # 1298: Проблем с анализа на ключови думи
• Грешка # 1303: подобрете откриването на "лоша актуализация на прозореца" на потока
• Грешка # 1304: подобряване на обработката на потока от лоши стойности на SACK
• Грешка # 1305: повторно използване на сесия на tcp за ssh / ssl сесии
• Грешка # 1307: byte_extract, в комбинация не работи
• Грешка # 1326: Улавяне на pkt pkt / flowvar за сравнителни съвпадения
• Грешка # 1329: Невалидно правило се обработва и зарежда
• Грешка # 1330: Грешка при водене на счетоводна отчетност (2.0.x)

Какво е новото във версия 2.0.4:

• Промени:
• Грешка # 1276: проблем с дефрагментирането на ipv6 с насочващи заглавки
• Проблем с грешка # 1278: синхронизиране на банер
• Грешка # 1254: сигнализиране при сривове при неправилно формулирана ключова дума
• Грешка # 1267: проблем при регистрирането на ipv6
• Грешка # 1273: Lua - http.request_line не работи
• Бутон # 1284: AF_PACKET Режим IPS, който не записва капки и поточно вграден проблем
• Сигурност:
• CVE-2014-6603

Какво е новото във версия 2.0.3:

• Проблем с грешка # 1244: ipv6 дефрагментиране
• Грешка # 1238: Възможно е да се избегне измама в stream-tcp-reassemble.c
• Грешка # 1221: липсваща последна стойност на таблицата за преобразуване
• Поддръжка # 1207: Не мога да компилирам на CentOS 5 x64 с -възможно профилиране
• Актуализирано заедно с libhtp до 0.5.15

Какво е новото във версия 2.0 RC1:

• Бе добавен единствен JSON изход. Обработката на VLAN бе подобрена.
• Добавена е QinQ поддръжка.
• Бе добавена опция за команда за преобличане на настройките за конфигурация.
• Управлението на ICMPv6 бе подобрено.
• Добавени бяха Memcaps за обработка на DNS и HTTP.
• Направени са няколко подобрения за улавяне на пакети.
• Бе добавен оптимизиран runmode на NSM.
• Много други проблеми бяха коригирани.

Какво е новото в версия 2.0 Beta 2:

Какво е новото във версия 1.4.7:

• Определя:
• Грешка # 996: ключова дума за маркери: сегментите за маркиране на време са скъсани
• Грешка # 1000: забавени прагове за откриване на начални стойности преди de_ctx
• Грешка # 1001: ip_rep зареждане на проблем с няколко стойности за една ip
• Грешка # 1022: StreamTcpPseudoPacketSetupHeader: Логиката за суап на порт не е съвместима
• Грешка # 1047: detect-engine.profile - разбивка на персонализирана стойност
• Грешка # 1063: подреждане на правила с няколко вида

Какво е новото във версия 1.4.6:

• Bug 958: неправилни SSL записи, водещи до катастрофа. Съобщено от Себастиан Рошке. CVE-2013-5919.
• Грешка 971: Променливата на шаблона за променлив тон от ограничената памет.
• Bug 965: подобрява манипулирането на отрицателното съдържание. Съобщено от Will Metcalf.
• Грешка 937: коригирайте декодирането на IPv6 в IPv6.
• Грешка 934: подобряване на анализа на адресите.
• Грешка 969: поправете unified2, без да запишете пакети с тагове.



Какво е новото във версия 1.4.5:

17 Aug 18