I thought I was "The Jerk". :(<br><br><div class="gmail_quote">On Tue, Apr 6, 2010 at 4:20 PM, <a href="mailto:evilghost@...3397...">evilghost@...3397...</a> <span dir="ltr"><<a href="mailto:evilghost@...253...3397...">evilghost@...3397...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Hi Pat, thanks for rehashing what I said with more words, as if I didn't<br>
really quite understand what I was pointing out.  I'm a little snippy<br>
because I have a right to be, "you" (SourceFire, the company) just<br>
released a VRT subscription release (of which I pay a substantial amount<br>
of money for) which successfully (with the confidence of "policy<br>
security-ips drop") classified all valid ingress SMTP traffic with the<br>
exclusion of the EHLO rule, as hostile.<br>
<br>
Forgive me if I'm not smiles and sunshine.  Honestly, I think I did<br>
pretty good and not lambasting "you" (SourceFire, the company) in my<br>
initial email for this gross oversight.<br>
<br>
It's pretty evident in this case this subscription release wasn't<br>
sufficiently QA'd.  To quote you, the problem "is immediately obvious by<br>
looking at the rule"<br>
<br>
-evilghost (the jerk)<br>
<div><div></div><div class="h5"><br>
Patrick Mullen wrote:<br>
>>> Hello, SID 13923 seems to generate quite a lot of false positives.<br>
>>><br>
><br>
> You are correct that the rule alerts on rfc-compliant traffic.  This<br>
> is immediately obvious by looking at the rule.  The rule was modified<br>
> from its previous form which had pcre:"/^HELO\x20(\x00|.\x00)/smi" to<br>
> its new form which currently has "content:"HELO "; content:!"|00|";<br>
> within:2; as part of a lot of performance changes.  Obviously, this<br>
> change does not fit the previous rule's intent due to the "!" modifier<br>
> on the content match.  A mistake was made and then lost in the mix.<br>
> Thank you for pointing it out; it will be fixed in the next release<br>
> and an additional speed increase that was realized during review will<br>
> be added to the rule.<br>
><br>
> Next time simply letting us know there is an obvious problem with the<br>
> rule without adding the "...to be a jerk..." part should be<br>
> sufficient.  ;)<br>
><br>
><br>
> Thanks,<br>
><br>
> ~Patrick<br>
><br>
</div></div></blockquote></div><br>