[Snort-sigs] FPs on 5713 - Windows Metafile invalid header size integer overflow

Jeff Kell jeff-kell at ...922...
Sat Mar 4 12:27:03 EST 2006


I have a couple dozen of these alerts, but most of them coming *from*
Microsoft, so I would hope they are false positives.
Here is one example (payload only).  If you want more, let me know.

Jeff

000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D   HTTP/1.1 200 OK.
010 : 0A 43 61 63 68 65 2D 43 6F 6E 74 72 6F 6C 3A 20   .Cache-Control: 
020 : 70 72 69 76 61 74 65 2C 20 6D 75 73 74 2D 72 65   private, must-re
030 : 76 61 6C 69 64 61 74 65 2C 20 6D 61 78 2D 61 67   validate, max-ag
040 : 65 3D 32 36 37 38 34 30 30 0D 0A 43 6F 6E 74 65   e=2678400..Conte
050 : 6E 74 2D 4C 65 6E 67 74 68 3A 20 34 30 33 30 0D   nt-Length: 4030.
060 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74   .Content-Type: t
070 : 65 78 74 2F 68 74 6D 6C 0D 0A 45 78 70 69 72 65   ext/html..Expire
080 : 73 3A 20 53 61 74 2C 20 30 31 20 41 70 72 20 32   s: Sat, 01 Apr 2
090 : 30 30 36 20 31 39 3A 35 32 3A 30 33 20 47 4D 54   006 19:52:03 GMT
0a0 : 0D 0A 4C 61 73 74 2D 4D 6F 64 69 66 69 65 64 3A   ..Last-Modified:
0b0 : 20 57 65 64 2C 20 31 39 20 46 65 62 20 32 30 30    Wed, 19 Feb 200
0c0 : 33 20 31 34 3A 31 31 3A 32 31 20 47 4D 54 0D 0A   3 14:11:21 GMT..
0d0 : 58 2D 50 6F 77 65 72 65 64 2D 42 79 3A 20 41 53   X-Powered-By: AS
0e0 : 50 2E 4E 45 54 0D 0A 58 2D 41 73 70 4E 65 74 2D   P.NET..X-AspNet-
0f0 : 56 65 72 73 69 6F 6E 3A 20 31 2E 31 2E 34 33 32   Version: 1.1.432
100 : 32 0D 0A 50 33 50 3A 20 43 50 3D 22 41 44 4D 20   2..P3P: CP="ADM 
110 : 43 41 4F 20 43 4F 4E 69 20 43 4F 52 20 43 55 52   CAO CONi COR CUR
120 : 20 44 45 56 20 44 53 50 20 49 4E 44 20 4F 54 52    DEV DSP IND OTR
130 : 69 20 4F 55 52 20 50 53 41 20 50 55 42 69 20 53   i OUR PSA PUBi S
140 : 54 41 20 53 54 50 22 0D 0A 43 6F 6E 74 65 6E 74   TA STP"..Content
150 : 2D 44 69 73 70 6F 73 69 74 69 6F 6E 3A 20 69 6E   -Disposition: in
160 : 6C 69 6E 65 3B 20 66 69 6C 65 6E 61 6D 65 3D 4D   line; filename=M
170 : 43 6A 30 32 33 34 34 37 37 30 30 30 30 2E 77 6D   Cj02344770000.wm
180 : 66 0D 0A 53 65 72 76 65 72 3A 20 4D 69 63 72 6F   f..Server: Micro
190 : 73 6F 66 74 20 49 49 53 0D 0A 44 61 74 65 3A 20   soft IIS..Date: 
1a0 : 57 65 64 2C 20 30 31 20 4D 61 72 20 32 30 30 36   Wed, 01 Mar 2006
1b0 : 20 31 39 3A 35 32 3A 30 32 20 47 4D 54 0D 0A 0D    19:52:02 GMT...
1c0 : 0A D7 CD C6 9A 00 00 00 00 07 00 CC 05 AA 04 5E   ...............^
1d0 : 02 00 00 00 00 2E 54 01 00 09 00 00 03 D4 07 00   ......T.........
1e0 : 00 03 00 1C 02 00 00 00 00 05 00 00 00 0C 02 A3   ................
1f0 : 04 CC 05 05 00 00 00 0B 02 07 00 00 00 04 00 00   ................
200 : 00 05 01 01 00 04 00 00 00 04 01 0D 00 04 00 00   ................
210 : 00 06 01 01 00 04 00 00 00 02 01 02 00 05 00 00   ................
220 : 00 01 02 FF FF FF FF 04 00 00 00 2E 01 18 00 08   ................
230 : 00 00 00 FA 02 05 00 00 00 00 00 00 00 00 00 04   ................
240 : 00 00 00 2D 01 00 00 07 00 00 00 FC 02 00 00 FF   ...-............
250 : CC 00 00 00 00 04 00 00 00 2D 01 01 00 10 00 00   .........-......
260 : 00 24 03 06 00 07 00 94 04 B7 05 94 04 B7 05 1D   .$..............
270 : 00 07 00 1D 00 07 00 94 04 07 00 94 04 07 00 00   ................
280 : 00 FC 02 00 00 E8 70 00 00 00 00 04 00 00 00 2D   ......p........-
290 : 01 02 00 04 00 00 00 F0 01 01 00 10 00 00 00 24   ...............$
2a0 : 03 06 00 60 01 D7 03 A7 01 D7 03 A7 01 FB 01 60   ...`...........`
2b0 : 01 FB 01 60 01 D7 03 60 01 D7 03 10 00 00 00 24   ...`...`.......$
2c0 : 03 06 00 27 02 D7 03 6E 02 D7 03 6E 02 FB 01 27   ...'...n...n...'
2d0 : 02 FB 01 27 02 D7 03 27 02 D7 03 10 00 00 00 24   ...'...'.......$
2e0 : 03 06 00 48 03 D7 03 8A 03 D7 03 8A 03 FC 01 48   ...H...........H
2f0 : 03 FC 01 48 03 D7 03 48 03 D7 03 10 00 00 00 24   ...H...H.......$
300 : 03 06 00 0E 04 D7 03 56 04 D7 03 56 04 FB 01 0E   .......V...V....
310 : 04 FB 01 0E 04 D7 03 0E 04 D7 03 10 00 00 00 24   ...............$
320 : 03 06 00 03 01 E7 01 B1 04 E7 01 B1 04 A7 01 03   ................
330 : 01 A7 01 03 01 E7 01 03 01 E7 01 07 00 00 00 FC   ................
340 : 02 00 00 FF FF C2 00 00 00 04 00 00 00 2D 01 01   .............-..
350 : 00 04 00 00 00 F0 01 02 00 10 00 00 00 24 03 06   .............$..
360 : 00 DA 02 88 00 72 04 75 01 EC 04 74 01 DA 02 41   .....r.u...t...A
370 : 00 DA 02 88 00 DA 02 88 00 07 00 00 00 FC 02 00   ................
380 : 00 E8 70 00 00 00 00 04 00 00 00 2D 01 02 00 04   ..p........-....
390 : 00 00 00 F0 01 01 00 10 00 00 00 24 03 06 00 18   ...........$....
3a0 : 01 40 04 9B 04 40 04 9B 04 25 04 18 01 25 04 18   . at ...253...@...%...%..
3b0 : 01 40 04 18 01 40 04 2C 00 00 00 24 03 14 00 06   . at ...253...@.,...$....
3c0 : 03 FC 01 3B 03 FC 01 3B 03 35 02 36 03 33 02 31   ...;...;.5.6.3.1
3d0 : 03 31 02 2D 03 2F 02 28 03 2D 02 24 03 2A 02 1F   .1.-./.(.-.$.*..
3e0 : 03 27 02 1C 03 23 02 19 03 21 02 15 03 1C 02 12   .'...#...!......
3f0 : 03 18 02 0F 03 14 02 0C 03 10 02 0A 03 0B 02 08   ................
400 : 03 06 02 06 03 01 02 06 03 FC 01 06 03 FC 01 2C   ...............,
410 : 00 00 00 24 03 14 00 CF 03 FC 01 99 03 FC 01 99   ...$............
420 : 03 35 02 9E 03 33 02 A3 03 31 02 A8 03 2F 02 AD   .5...3...1.../..
430 : 03 2D 02 B0 03 2A 02 B5 03 27 02 B8 03 23 02 BC   .-...*...'...#..
440 : 03 21 02 BF 03 1C 02 C2 03 18 02 C5 03 14 02 C8   .!..............
450 : 03 10 02 C9 03 0B 02 CC 03 06 02 CD 03 01 02 CF   ................
460 : 03 FC 01 CF 03 FC 01 94 00 00 00 24 03 48 00 D9   ...........$.H..
470 : 02 88 00 D9 02 AC 00 D2 02 AC 00 CE 02 AC 00 CA   ................
480 : 02 AD 00 C6 02 AE 00 C3 02 AF 00 BF 02 B0 00 BC   ................
490 : 02 B1 00 B9 02 B3 00 B6 02 B5 00 B2 02 B6 00 AF   ................
4a0 : 02 B7 00 AC 02 B9 00 A9 02 BC 00 A6 02 BE 00 A3   ................
4b0 : 02 C0 00 A1 02 C3 00 9F 02 C6 00 9C 02 C9 00 9A   ................
4c0 : 02 CC 00 97 02 CE 00 96 02 D2 00 94 02 D5 00 92   ................
4d0 : 02 D8 00 90 02 DB 00 8F 02 DF 00 8E 02 E2 00 8C   ................
4e0 : 02 E6 00 8B 02 E9 00 8B 02 ED 00 8B 02 F0 00 8A   ................
4f0 : 02 F5 00 8A 02 F8 00 8A 02 FD 00 8A 02 00 01 8A   ................
500 : 02 04 01 8B 02 07 01 8B 02 0B 01 8B 02 0F 01 8C   ................
510 : 02 12 01 8E 02 16 01 8F 02 1A 01 90 02 1C 01 92   ................
520 : 02 20 01 94 02 23 01 96 02 27 01 97 02 2A 01 9A   . ...#...'...*..
530 : 02 2D 01 9C 02 30 01 9F 02 33 01 A1 02 35 01 A3   .-...0...3...5..
540 : 02 37 01 A6 02 39 01 A9 02 3C 01 AC 02 3E 01 AF   .7...9...<...>..





More information about the Snort-sigs mailing list