<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Arial, sans-serif" size="3">
<div>I had an alert triggered today, WEB-CLIENT 3ivx MP4 file parsing cmt buffer overflow attempt (1:13318), and I’m thinking this is a false positive.  The snort page for the alert doesn’t list any known false positives.</div>
<div><font face="Times New Roman, serif"> </font></div>
<div>Some of the payload info:</div>
<div> </div>
<div>HTTP/1.1 200 OK</div>
<div>Date: Wed, 25 Mar 2009 20:51:54 GMT</div>
<div>Server: Apache/1.3.41.fb2</div>
<div>Expires: Mon, 26 Jul 1997 05:00:00 GMT</div>
<div>Cache-Control: private, no-store, no-cache, must-revalidate, post-check=0, pre-check=0</div>
<div>Pragma: no-cache</div>
<div>P3P: CP="HONK"</div>
<div>Set-Cookie: made_write_conn=1238014314; path=/; domain=.facebook.com</div>
<div>Set-Cookie: cur_max_lag=3; path=/; domain=.facebook.com; httponly</div>
<div>X-Cnection: close</div>
<div>Transfer-Encoding: chunked</div>
<div>Content-Type: application/x-javascript; charset=utf-8</div>
<div>Content-Encoding: gzip</div>
<div><font face="Times New Roman, serif"> </font></div>
<div>The reason I think it may be a false positive, is the fact that this appears to be a javascript, and is gzipped (??).  I’ve seen other alerts triggered by JPEGs, and I’ve always assumed they were false positives, but I wanted to run it by all you because
I could be missing something!</div>
<div><font face="Times New Roman, serif"> </font></div>
<div>Also, if this is a false positive, how do I go about helping fill out the snort alert DB on the website?</div>
<div><font face="Times New Roman, serif"> </font></div>
<div>Thanks,</div>
<div>Shawn</div>
<div><font face="Times New Roman, serif"> </font></div>
</font>
</body>
</html>