Thanks,  like I said, I think the problem was on my end (and it was).<br>
<br>
<br><br><div><span class="gmail_quote">On 10/18/05, <b class="gmail_sendername">Ron Jenkins</b> <<a href="mailto:rjenkins@...12829...">rjenkins@...12829...</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I see it too.<br><br>-----Original Message-----<br>From: <a href="mailto:snort-users-admin@lists.sourceforge.net">snort-users-admin@...2652...e.net</a><br>[mailto:<a href="mailto:snort-users-admin@...3783...net">
snort-users-admin@lists.sourceforge.net</a>] On Behalf Of Jennifer<br>Steffens<br>Sent: Tuesday, October 18, 2005 5:31 PM<br>To: Sam Evans<br>Cc: snort-users @ lists. sourceforge. net<br>Subject: Re: [Snort-users] Fixes and Mitigation Instructions Available
<br>for Snort Back Orifice Vulnerability<br><br>Sam,<br><br>Can you try refreshing the page? The 2.4.3 version is there for me. The<br>actual link is <a href="http://www.snort.org/dl/current/snort-2.4.3.tar.gz">http://www.snort.org/dl/current/snort-2.4.3.tar.gz
</a>.<br><br>Thanks,<br>Jennifer<br><br>Sam Evans wrote:<br>> Jennifer,<br>><br>> I might be missing something, but when I click the<br>> <a href="http://www.snort.org/dl/">http://www.snort.org/dl/</a> link all I see is the 
2.4.2 version, not the<br>2.4.3.<br>><br>> Thanks,<br>> Sam<br>><br>><br>><br>> On 10/18/05, *Jennifer Steffens* <<a href="mailto:jennifer.steffens@...1935...">jennifer.steffens@...1935...</a>
<br>> <mailto:<a href="mailto:jennifer.steffens@...1935...">jennifer.steffens@...1935...</a>>> wrote:<br>><br>>     Subject: Fix and Mitigation Available for Snort Vulnerability<br>><br>>     The Sourcefire Vulnerability Research Team (VRT) has learned of a
<br>>     vulnerability in Snort v2.4.0 and higher. Users are only<br>vulnerable if<br>>     the Back Orifice preprocessor is enabled. Snort v2.4.3 has been<br>released<br>>     to correct the issue and detailed instructions for mitigating the
<br>issue<br>>     by disabling the Back Orifice preprocessor are below.<br>><br>><br>>     Snort v2.4.3<br>><br>>     In addition to fixing the vulnerability, this version includes a<br>>     mechanism to detect exploits against vulnerable sensors and,
<br>optionally<br>>     for inline sensors, drop the offending traffic. These features<br>enable a<br>>     phased approach to upgrading while protecting unpatched sensors.<br>>     Detection capabilities are part of the new preprocessor and
<br>therefore<br>>     are available to all users regardless of subscription status.<br>><br>>     In addition to the source tarball, postgres, mysql and plain RPMs<br>and a<br>>     win32 installer are available at 
<a href="http://www.snort.org/dl">http://www.snort.org/dl</a>. Please<br>>     remember that updated rules are only included in major releases.<br>For<br>>     updated rules, visit <a href="http://www.snort.org/rules/">
http://www.snort.org/rules/</a>.<br>><br>><br>>     Mitigation Instructions:<br>><br>>     The Back Orifice preprocessor can be disabled by commenting out<br>the line<br>>     "preprocessor bo" in 
snort.conf. This can be done in any text<br>editor<br>>     using the following procedure:<br>><br>>     1. Locate the line "preprocessor bo"<br>>     2. Comment out this line by preceding it with a hash (#). The new
<br>line<br>>     will look like "#preprocessor bo"<br>>     3. Save the file<br>>     4. Restart snort<br>><br>><br>>     Background:<br>><br>>     On Thursday, October 13th Sourcefire was contacted by USCERT with
<br>news<br>>     of a vulnerability in Snort. We used the subsequent days to verify<br>the<br>>     vulnerability and to prepare mitigation strategies and the<br>software<br>>     updates necessary to fix the vulnerability for both Sourcefire
<br>customers<br>>     and Snort users. While it cannot be said that no other problems<br>will<br>>     ever be found in the Snort code base, we can state that we will<br>>     redouble<br>>     our efforts to ensure the security of the system so many people
<br>have<br>>     come to rely on for the detection of network-based threats.<br>Sourcefire<br>>     will also continue to work with the most sophisticated testing<br>>     facilities in the industry to assure that every reasonable step is
<br>>     being<br>>     taken to provide the most secure code base possible.<br>><br>><br>>     Technical Details:<br>>     The Back Orifice preprocessor contains a stack-based buffer<br>overflow.<br>>     This vulnerability could be leveraged by an attacker to execute
<br>code<br>>     remotely on a Snort sensor where the Back Orifice preprocessor is<br>>     enabled.  However, there are a number of factors that make remote<br>code<br>>     execution difficult to achieve across different builds of Snort on
<br>>     different platforms, even on the same platform with different<br>compiler<br>>     versions, and it is more likely that an attacker could use the<br>>     vulnerability as a denial of service attack.<br>
><br>><br>>     If you have any questions, please let us know at<br>>     <a href="mailto:snort-team@...1935...">snort-team@...1935...</a> <mailto:<a href="mailto:snort-team@...1935...">snort-team@...1935...
</a>><br>><br>>     Thanks,<br>>     Jennifer<br>><br>><br>>     --<br>>     Jennifer S. Steffens<br>>     Director, Snort Product Management | Sourcefire, Inc.<br>>     W: 410.423.1930 | C: 
202.409.7707<br>>     <a href="http://www.sourcefire.com">www.sourcefire.com</a> <<a href="http://www.sourcefire.com">http://www.sourcefire.com</a>> | <a href="http://www.snort.org">www.snort.org</a><br>>     <
<a href="http://www.snort.org">http://www.snort.org</a>><br>><br>><br>>     -------------------------------------------------------<br>>     This SF.Net email is sponsored by:<br>>     Power Architecture Resource Center: Free content, downloads,
<br>>     discussions,<br>>     and more. <a href="http://solutions.newsforge.com/ibmarch.tmpl">http://solutions.newsforge.com/ibmarch.tmpl</a><br>>     _______________________________________________<br>>     Snort-users mailing list
<br>>     <a href="mailto:Snort-users@...3054...forge.net">Snort-users@lists.sourceforge.net</a><br>>     <mailto:<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a>><br>
>     Go to this URL to change user options or unsubscribe:<br>>     <a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>>     <<a href="https://lists.sourceforge.net/lists/listinfo/snort-users">
https://lists.sourceforge.net/lists/listinfo/snort-users</a>><br>>     Snort-users list archive:<br>>     <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users
</a><br>><br>><br><br><br>-------------------------------------------------------<br>This SF.Net email is sponsored by:<br>Power Architecture Resource Center: Free content, downloads,<br>discussions,<br>and more. <a href="http://solutions.newsforge.com/ibmarch.tmpl">
http://solutions.newsforge.com/ibmarch.tmpl</a><br>_______________________________________________<br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">
http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br>