<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">


<meta name=ProgId content=Word.Document>
<meta name=Generator content="Microsoft Word 10">
<meta name=Originator content="Microsoft Word 10">
<link rel=File-List href="cid:filelist.xml@...2489...">
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="PostalCode"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="State"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="City"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="place"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="Street"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="address"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="PersonName"/>
<!--[if gte mso 9]><xml>
 <o:OfficeDocumentSettings>
  <o:DoNotRelyOnCSS/>
 </o:OfficeDocumentSettings>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:WordDocument>
  <w:SpellingState>Clean</w:SpellingState>
  <w:GrammarState>Clean</w:GrammarState>
  <w:DocumentKind>DocumentEmail</w:DocumentKind>
  <w:EnvelopeVis/>
  <w:Compatibility>
   <w:BreakWrappedTables/>
   <w:SnapToGridInCell/>
   <w:WrapTextWithPunct/>
   <w:UseAsianBreakRules/>
  </w:Compatibility>
  <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel>
 </w:WordDocument>
</xml><![endif]--><!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:veranda;
        panose-1:0 0 0 0 0 0 0 0 0 0;
        mso-font-alt:"Times New Roman";
        mso-font-charset:0;
        mso-generic-font-family:roman;
        mso-font-format:other;
        mso-font-pitch:auto;
        mso-font-signature:0 0 0 0 0 0;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {mso-style-parent:"";
        margin:0in;
        margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:12.0pt;
        font-family:"Times New Roman";
        mso-fareast-font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;
        text-underline:single;}
a:visited, span.MsoHyperlinkFollowed
        {color:purple;
        text-decoration:underline;
        text-underline:single;}
pre
        {margin:0in;
        margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:10.0pt;
        font-family:"Courier New";
        mso-fareast-font-family:"Times New Roman";}
span.EmailStyle17
        {mso-style-type:personal-compose;
        mso-style-noshow:yes;
        mso-ansi-font-size:10.0pt;
        mso-bidi-font-size:10.0pt;
        font-family:Arial;
        mso-ascii-font-family:Arial;
        mso-hansi-font-family:Arial;
        mso-bidi-font-family:Arial;
        color:windowtext;}
span.SpellE
        {mso-style-name:"";
        mso-spl-e:yes;}
span.GramE
        {mso-style-name:"";
        mso-gram-e:yes;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;
        mso-header-margin:.5in;
        mso-footer-margin:.5in;
        mso-paper-source:0;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 10]>
<style>
 /* Style Definitions */ 
 table.MsoNormalTable
        {mso-style-name:"Table Normal";
        mso-tstyle-rowband-size:0;
        mso-tstyle-colband-size:0;
        mso-style-noshow:yes;
        mso-style-parent:"";
        mso-padding-alt:0in 5.4pt 0in 5.4pt;
        mso-para-margin:0in;
        mso-para-margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:10.0pt;
        font-family:"Times New Roman";}
</style>
<![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple style='tab-interval:.5in'>

<div class=Section1><pre><font size=2 face="Courier New"><span
style='font-size:10.0pt'>I noticed a false positive for this rule, and I wanted to send it ya'll. Its for streaming music requests for <span
class=SpellE>Shoutcast</span>, in which the client issues an HTTP GET to a non-port 80 destination port, which then triggers this sig.<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'><o:p> </o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Rule:<span style='mso-spacerun:yes'>  </span><o:p></o:p></span></font></pre><pre><font
size=2 color=black face=veranda><span style='font-size:10.5pt;font-family:veranda;
color:black'>P2P <span class=SpellE>GNUTella</span> GET </span></font>--<o:p></o:p></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Sid:<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>1432<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>--<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Summary:<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'><o:p> </o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>--<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Impact:<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'><o:p> </o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>--<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Detailed Information:<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'><o:p> </o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>--<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Affected Systems:<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'><o:p> </o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>--<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Attack Scenarios:<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'><o:p> </o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>--<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Ease of Attack:<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'><o:p> </o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>--<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>False Positives:<o:p></o:p></span></font></pre><pre><span
class=SpellE><span class=GramE><font size=2 face="Courier New"><span
style='font-size:10.0pt'>Shoutcast</span></font></span></span><span
class=GramE> streaming music service.</span><o:p></o:p></pre><pre><font size=2
face="Courier New"><span style='font-size:10.0pt'>--<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>False Negatives:<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'><o:p> </o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>--<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Corrective Action:<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'><o:p> </o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>--<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Contributors:<o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'><o:p> </o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>-- <o:p></o:p></span></font></pre><pre><font
size=2 face="Courier New"><span style='font-size:10.0pt'>Additional References:<o:p></o:p></span></font></pre>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'><o:p> </o:p></span></font></p>

<pre><span class=GramE><font size=2 face="Courier New"><span style='font-size:
10.0pt'>000 :</span></font></span> 47 45 54 20 2F 20 48 54 <span class=SpellE>54</span> 50 2F 31 2E 30 0D 0A<span style='mso-spacerun:yes'>   </span>GET / HTTP/1.0..<o:p></o:p></pre><pre><span
class=GramE><font size=2 face="Courier New"><span style='font-size:10.0pt'>010 :</span></font></span> 49 63 79 2D 4D 65 74 61 44 61 74 61 3A 31 0D 0A<span style='mso-spacerun:yes'>   </span>Icy-MetaData:1..<o:p></o:p></pre><pre><span
class=GramE><font size=2 face="Courier New"><span style='font-size:10.0pt'>020 :</span></font></span> 55 73 65 72 2D 41 67 65 6E 74 3A 53 68 6F 75 74<span style='mso-spacerun:yes'>   </span>User-<span
class=SpellE>Agent:Shout</span><o:p></o:p></pre><pre><span class=GramE><font
size=2 face="Courier New"><span style='font-size:10.0pt'>030 :</span></font></span> 63 61 73 74 20 53 65 72 76 65 72 20 31 2E 39 2E<span style='mso-spacerun:yes'>   </span>cast Server 1.9.<o:p></o:p></pre><pre><span
class=GramE><font size=2 face="Courier New"><span style='font-size:10.0pt'>040 :</span></font></span> 32 0D 0A 0D 0A<span style='mso-spacerun:yes'>                                    </span>2....<o:p></o:p></pre>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;
font-family:Arial'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><st1:PersonName><font
 size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
 mso-no-proof:yes'>Ryan Barrett</span></font></st1:PersonName></st1:PersonName><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
mso-no-proof:yes'>, CISSP<o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><st1:PersonName><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
mso-no-proof:yes'>Sr. </span></font><st1:PersonName><font size=2
 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
 mso-no-proof:yes'>Security</span></font></st1:PersonName></st1:PersonName><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
mso-no-proof:yes'> Engineer</span></font><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial;mso-no-proof:yes'><o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><font size=2
face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
mso-no-proof:yes'>____________________________________________<o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><font size=2
face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
mso-no-proof:yes'>WebEx Communications, Inc.<span
style='mso-spacerun:yes'>  </span>p:408.435.7570<o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><st1:Street><st1:address><st1:Street><st1:address><font
  size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
  mso-no-proof:yes'>307 West Tasman Drive</span></font></st1:address></st1:Street></st1:address></st1:Street><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
mso-no-proof:yes'><span
style='mso-spacerun:yes'>      
</span>f:408.435.7004<o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><st1:place><st1:City><st1:place><st1:City><font
  size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
  mso-no-proof:yes'>San Jose</span></font></st1:City></st1:City><font size=2
 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
 mso-no-proof:yes'>, </span></font><st1:State><st1:State><font size=2
  face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
  mso-no-proof:yes'>CA</span></font></st1:State></st1:State><font size=2
 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
 mso-no-proof:yes'> </span></font><st1:PostalCode><font size=2
  face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
  mso-no-proof:yes'><st1:PostalCode>95134</span></font></st1:PostalCode></st1:place></st1:PostalCode></st1:place><font
size=2 face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
mso-no-proof:yes'><o:p></o:p></span></font></p>

<p class=MsoNormal style='mso-layout-grid-align:none'><font size=2
face="Courier New"><span style='font-size:10.0pt;font-family:"Courier New";
mso-no-proof:yes'><o:p> </o:p></span></font></p>

<p class=MsoNormal><em><i><font size=1 face=Arial><span style='font-size:9.0pt;
font-family:Arial;mso-no-proof:yes'>This email may contain information that is
Confidential and Proprietary to WebEx Communications, Inc., and should be
disclosed only to WebEx employees with a need to know. If you are not the
intended recipient of this message, please immediately destroy any and all
paper and electronic copies. Please also notify the sender that this
misdirection happened.</span></font></i></em><o:p></o:p></p>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

</div>

</body>

</html>