WatchGuard: Falsche IPS-Signatur mit einem False Positive veröffentlicht

WatchGuard IPS

Im Bereich Intrusion Prevention Service (IPS) ist bei WatchGuard ein Problem aufgetreten. Die IPS-Signatur 1134424 weist derzeit ein "Known Issue" auf: Die WatchGuard-Firewall erkennt hier das eine Sicherheitslücke ausgenutzt werden soll, die aber nicht vorhanden ist (False Positive).

Dieses Problem konnten wir auch bei Kunden beobachten, die Sophos einsetzen. WatchGuard arbeitet gegenwärtig daran, dieses Problem zu beheben. Ein geplanter Zeitpunkt für die Veröffentlichung eines Updates steht allerdings noch nicht fest. Die fehlerbehaftete IPS-Version ist 4.912. 

Als Workaround schlagen wir vor, dass Sie eine IPS-Ausnahme für diese bestimmte Signatur-ID (1134424) erstellen.

WatchGuard stellt eine Anleitung bereit, wie Sie eine IPS-Ausnahme konfigurieren können. Diese finden Sie hier.

  1. Wählen Sie im Policy Manager unter Subscription Services > Intrusion Prevention

  2. Gehen Sie auf Exceptions und tragen Sie die ID 1134424 ein ("Action Allow"-Log kann aktiv sein, siehe Bild). 

Alternative:

  1. Im Web-Userinterface als Admin einloggen unter Subscription Services -> Intrusion Prevention Service(IPS). Wenn nötig, die Bearbeitung aktivieren (Klick auf das Schloss-Symbol).
  2. Unter dem Reiter Exceptions die ID 1134424 eintragen ("Action Allow"-Log kann aktiv sein, siehe Bild). 

Haben Sie Fragen?

Bei Fragen zu diesem oder weiteren WatchGuard-Themen erreichen Sie unseren Support wie folgt:

Telefon: +49 (541) 9493-111

E-Mail: hallo@sievers-group.com

Jetzt Kontakt aufnehmen

Das könnte Sie auch interessieren