>From what I read they suggest you to upgrade to the latest snort since the rules indeed have changed that they won't work at all or not very good with earlier releases<br><br><div class="gmail_quote">On Wed, Apr 8, 2009 at 1:26 PM, Nigel Houghton <span dir="ltr"><<a href="mailto:nhoughton@...1935...">nhoughton@...1935...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div><div></div><div class="h5">On Wed, Apr 8, 2009 at 12:51 PM, John Duksta <<a href="mailto:jduksta@...11827...">jduksta@...11827...</a>> wrote:<br>


><br>
> Joel (or someone else at SF):<br>
><br>
> Can we some guidance as to whether the snapshot_2.8_s rules going forward<br>
> are going to utilize the dcerpc2 enhancements (i.e. lose the 5K netbios<br>
> rules that just went away with SF SEU 216), and if so, will the new dcerpc2<br>
> ruleset break earlier 2.8 releases?<br>
><br>
> Based on the rule maintenance language[1], it sound like it might do so, but<br>
> I suppose it really depends on the content of the rules.<br>
><br>
> Thanks,<br>
> -j<br>
><br>
> [1] <quote>Snort rule packages for Subscribers and Registered users track<br>
> the latest feature set for any Major.X release. This means that rule<br>
> packages can contain features that only exist in the latest version of snort<br>
> for a given Major.X release. A simple example is:<br>
><br>
> If 2.6.1.5 is the current version of snort then the snortrules-snapshot-2.6<br>
> packages might utilize features not supported in 2.6.1.4 and earlier.<br>
><br>
> Additionally the word CURRENT does not mean "current" as in the English<br>
> dictionary meaning. It mean CURRENT in the BSD source code repository<br>
> meaning. CURRENT tracks SNORT CVS CURRENT, i.e. the the unstable, possibly<br>
> broken version of snort. If you download CURRENT and are not running this<br>
> version of snort, your snort install will break</quote><br>
<br>
</div></div>All your questions will be answered shortly. Stay tuned.<br>
<font color="#888888"><br>
--<br>
Nigel Houghton<br>
Head Mentalist<br>
SF VRT<br>
<a href="http://vrt-sourcefire.blogspot.com" target="_blank">http://vrt-sourcefire.blogspot.com</a> && <a href="http://www.snort.org/vrt/" target="_blank">http://www.snort.org/vrt/</a><br>
<br>
------------------------------------------------------------------------------<br>
</font><div><div></div><div class="h5">This SF.net email is sponsored by:<br>
High Quality Requirements in a Collaborative Environment.<br>
Download a free trial of Rational Requirements Composer Now!<br>
<a href="http://p.sf.net/sfu/www-ibm-com" target="_blank">http://p.sf.net/sfu/www-ibm-com</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users%0ASnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</div></div></blockquote></div><br>