Yesterday's VRT Subscriber release does have the snort.conf in it.<div><br></div><div>Tomorrow's release will have it as well with some minor updates.</div><div><br></div><div>Joel<br><br><div class="gmail_quote">On Wed, Aug 24, 2011 at 2:03 PM, Miguel Alvarez <span dir="ltr"><<a href="mailto:miguellvrz9@...11827...">miguellvrz9@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Thank you, Joel.<br>
<br>
Is there a snort.conf that contains all of these updates?  It doesn't<br>
look as if those bundled with either yesterday's VRT release or the<br>
2.9.1 tarball do.<br>
<br>
Thank you very much!<br>
<div><div></div><div class="h5"><br>
On Tue, Aug 23, 2011 at 2:34 PM, Joel Esler <<a href="mailto:jesler@...846....1935...">jesler@...1935...</a>> wrote:<br>
> Snort Community --<br>
><br>
> Join us as we welcome the introduction of the newest rule release for today from the VRT. In this release we introduce 57 new rules and make modifications to 153 additional rules.<br>
><br>
> This rule package also includes support for the 2.9.1.0 version.<br>
><br>
> The following changes are made to the Snort.conf in this release, with so many changes we recommend rebuilding your snort.conf with a 2.9.1.0 template:<br>
><br>
> Updated HTTP_PORTS variable:<br>
> portvar HTTP_PORTS [80,81,311,591,593,901,1220,1414,1830,2301,2381,2809,3128,3702,4343,5250,7001,7145,7510,7777,7779,8000,8008,8014,8028,8080,8088,8118,8123,8180,8181,8243,8280,8800,8888,8899,9080,9090,9091,9443,9999,11371,55555]<br>

><br>
> New SIP_PORTS variable<br>
> portvar SIP_PORTS [5060,5061,5600]<br>
><br>
> New IP Blacklist variables:<br>
> var WHITE_LIST_PATH rules/<br>
> var BLACK_LIST_PATH rules/<br>
><br>
> New PAF configuration line (VERY IMPORTANT!)<br>
> config paf_max: 16000<br>
><br>
> Updated stream5 configuration:<br>
> ports both 80 81 311 443 465 563 591 593 636 901 989 992 993 994 995 1220 1414 1830 2301 2381 2809 3128 3702 4343 5250 7907 7001 7145 7510 7802 7777 7779 7917 7918 7919 7920 8000 8008 8014 8028 8080 8088 8118 8123 8180 8243 8280 8800 8888 8899 9080 9090 9091 9443 9999 11371 55555<br>

><br>
> Updated HTTP_INSPECT configuration lines:<br>
> http_methods { GET POST PUT SEARCH MKCOL COPY MOVE LOCK UNLOCK NOTIFY POLL BCOPY BDELETE BMOVE LINK UNLINK OPTIONS HEAD DELETE TRACE TRACK CONNECT SOURCE }<br>
> and<br>
> ports { 80 81 311 591 593 901 1220 1414 1830 2301 2381 2809 3128 3702 4343 5250 7001 7145 7510 7777 7779 8000 8008 8014 8028 8080 8088 8118 8123 8180 8181 8243 8280 8800 8888 8899 9080 9090 9091 9443 9999 11371 55555 }<br>

><br>
> Updated SMTP preprocessor configuration lines:<br>
> b64_decode_depth 0 \<br>
> qp_decode_depth 0 \<br>
> bitenc_decode_depth 0 \<br>
> uu_decode_Depth 0 \<br>
> log_mailfrom \<br>
> log_rcptto \<br>
> log_filename \<br>
> log_email_hdrs<br>
><br>
> Finally, new preprocessor configurations:<br>
><br>
> # SIP Session Initiation Protocol preprocessor. For more information see README.sip<br>
> preprocessor sip: max_sessions 40000, \<br>
> ports { 5060 5061 5600 }, \<br>
> methods { invite \<br>
> cancel \<br>
> ack \<br>
> bye \<br>
> register \<br>
> options \<br>
> refer \<br>
> subscribe \<br>
> update \<br>
> join \<br>
> info \<br>
> message \<br>
> notify \<br>
> benotify \<br>
> do \<br>
> qauth \<br>
> sprack \<br>
> publish \<br>
> service \<br>
> unsubscribe \<br>
> prack }, \<br>
> max_uri_len 512, \<br>
> max_call_id_len 80, \<br>
> max_requestName_len 20, \<br>
> max_from_len 256, \<br>
> max_to_len 256, \<br>
> max_via_len 1024, \<br>
> max_contact_len 512, \<br>
> max_content_len 2048<br>
><br>
> # IMAP preprocessor. For more information see README.imap<br>
> preprocessor imap: \<br>
> ports { 143 } \<br>
> b64_decode_depth 0 \<br>
> qp_decode_depth 0 \<br>
> bitenc_decode_depth 0 \<br>
> uu_decode_depth 0<br>
><br>
> # POP preprocessor. For more information see README.pop<br>
> preprocessor pop: \<br>
> ports { 110 } \<br>
> b64_decode_depth 0 \<br>
> qp_decode_depth 0 \<br>
> bitenc_decode_depth 0 \<br>
> uu_decode_depth 0<br>
><br>
> # Reputation preprocessor. For more information see README.reputation<br>
> preprocessor reputation: \<br>
> memcap 500, \<br>
> priority whitelist, \<br>
> nested_ip inner, \<br>
> whitelist $WHITE_LIST_PATH/white_list.rules, \<br>
> blacklist $BLACK_LIST_PATH/white_list.rules<br>
><br>
><br>
> The Sourcefire VRT has added and modified multiple rules in the backdoor, blacklist, botnet-cnc, netbios, policy, smtp, specific-threats, spyware-put, sql and web-misc rule sets to provide coverage for emerging threats from these technologies.<br>

><br>
</div></div>> --<br>
> To unsubscribe from this group, send email to<br>
> <a href="mailto:snortsigs%2Bunsubscribe@...14071...">snortsigs+unsubscribe@...14071...</a><br>
><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
><br>
<font color="#888888"><br>
--<br>
To unsubscribe from this group, send email to<br>
<a href="mailto:snortsigs%2Bunsubscribe@...14071...">snortsigs+unsubscribe@...14071...</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</font></blockquote></div><br></div>