森德網站設計

資安情報站

產品技術通報:IBM Security Network Intrusion Prevention System (GX), IBM QRadar Network Security (XGS) XPU 3910.03162 更新

通報簡述
本次更新總共包含了 15 個新的入侵偵測特徵,並建議對 37 個事件進行阻擋。

產品: IBM Security Network Intrusion Prevention System (GX), IBM QRadar Network Security (XGS) 全系列

版本: 3910.03162
更新方式
1. 能使用網際網路的使用者,可利用 ManualUpgrader 或 SiteProtector 管理介面直接進行更新。
2. 無法使用網際網路的使用者,請至 http://ibmss.flexnetoperations.com/ 網站下載網頁中手動下載,並依手冊指示進行手動更新。
3. 更新之後,請檢查使用中的 Policy,並調整勾選新增的偵測事件特徵後,將 Policy 套用至相關元件。
新增特徵碼
編號 特徵碼名稱 參考資料 類別 風險等級
122264 HTTP_Netgear_Ping_Cmd_Injection CVE-2017-6077 Unauthorized Access Attempt HIGH
122402 HTTP_Netgear_DNSLookup_Cmd_Injection CVE-2017-6334 Unauthorized Access Attempt HIGH
158786 HTTP_HPE_IMC_CustomReportBean_Cmd_Injection CVE-2019-5373 Unauthorized Access Attempt MEDIUM
158930 MSRPC_Advantech_WebAccess_bwthinfl_Overflow CVE-2019-6550 Unauthorized Access Attempt HIGH
160261 Memcached_LRU_Command_DoS CVE-2019-11596 Denial of Service MEDIUM
164574 RDP_DVC_Decompression_Overflow CVE-2019-1181 Unauthorized Access Attempt HIGH
164575 RDP_DVC_Decompression_Segment_Overflow CVE-2019-1182 Unauthorized Access Attempt HIGH
165252 HTTP_OpenEMR_Ajax_Download_DotDot CVE-2019-14530 Suspicious Activity MEDIUM
165955 HTTP_Cisco_IOS_REST_API_Auth_Bypass CVE-2019-12643 Unauthorized Access Attempt MEDIUM
166083 MDB_VarColumn_Definition_Exec CVE-2019-1242 Unauthorized Access Attempt HIGH
166093 Image_EMF_Pen_Info_Disclosure CVE-2019-1252 Suspicious Activity MEDIUM
166905 MSRPC_Advantech_BwPAlarm_Base64_Overflow CVE-2019-3975 Unauthorized Access Attempt HIGH
167452 HTTP_VBulletin_WidgetConfig_Exec CVE-2019-16759 Unauthorized Access Attempt HIGH
167581 HTTP_ArtraDownloader_Trojan_CnC Suspicious Activity HIGH
167805 SMTP_Email_Exim_EHLO_Overflow CVE-2019-16928 Unauthorized Access Attempt HIGH
修正與強化
1. 更正HTTP_WordPress_Admin_formData_DotDot中的誤報
2. 更正PDF_XFA_Script事件的誤判
3. 更改以更準確地檢測某些嵌入在PDF文件中內容,消除了用於隱藏PDF文件內攻擊的潛在迴避技術
4. 增強對RDP解析器。某些簽章可能需要經過適當配置才能對XGS解密RDP流量的觸發。 有關受影響的簽章列表,請參閱PAM幫助文件中以'RDP_'開頭的簽章名稱
阻擋建議
事件阻擋(Block)注意事項:
此次XPU於預設Policy中新增 37 個阻擋事件,若您不是使用預設Policy,請修改您目前的Policy使其偵測到下列事件時可以成功阻擋:
HTML_Image_Source_DoubleExec
CSS_Word_Processing_Exec
LDAP_Samba_ModifyRequest_Bypass
Script_Edge_Memory_Corruption_143
HTTP_Zoho_ManageEngine_SLA_SQL_Injection
PDF_Reader_Mem_Corruption_086
PDF_Reader_Info_Disclosure_017
PDF_Reader_Mem_Corruption_087
PDF_Reader_Mem_Corruption_085
PDF_Reader_Mem_Corruption_088
HTTP_CiscoPrime_EPNM_Tar_Dot_Dot
Script_ADO_Recordset_Memory_Corruption
DBMan_CheckD
其他更新
-
注意事項
-
返回