snort und alert log overflow?

-fred- · Beitrag von **-fred-** » 08.09.2005 21:55:35

**] [1:1384:8] MISC UPnP malformed advertisement [**]
[Classification: Misc Attack] [Priority: 2]
09/08-21:12:51.452606 192.168.2.1:1900 -> 239.255.255.250:1900
UDP TTL:4 TOS:0x0 ID:0 IpLen:20 DgmLen:306 DF
Len: 278
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx][Xref => http://cv$

snort spuckt mir etliche male pro sekunde diese meldung hier aus.

die url verweist interessanterweise hierauf:

Microsoft Security Bulletin MS01-059
Unchecked Buffer in Universal Plug and Play can Lead to System Compromise

Originally posted: December 20, 2001
Updated: May 09, 2003
Summary

Who should read this bulletin:
Customers using Microsoft® Windows® ME or XP, or who have installed the Windows XP Internet Connection Sharing client on Windows 98 or 98SE.

Impact of vulnerability:
Run code of attacker's choice.

Maximum Severity Rating:
Critical

Recommendation:
Microsoft strongly urges all Windows XP customers to apply the patch immediately. Customers using Windows 98, 98SE or ME should apply the patch if Universal Plug and Play support is installed and running.

was nervt mich denn da genau und gibts da abhilfe? die 192.168.2.1 ist übrigens mein router liegen tut das aber im subnet 255.255.255.0.nun ich hab kein windows darum werd ich wohl auch nicht patchen, aber sollte es diese lücke im pnp auch in debian geben? [/quote]

-fred- · Beitrag von **-fred-** » 09.09.2005 19:59:49

EDIT so also ich hab mal mit etheral gelogged und zwar sucht mein router nach Universal plug& play geräten. jetzt hab ich nur noch das problem das snort das nicht mag und mir aus den suchpings von meinem router in drei tagen 50mb grosse log files baut. weiss jemand wie man snort verbieten kann das zu loggen, oder zumindest es nicht als alert einzustufen?

viele grüsse fred

zu UPNP
http://de.wikipedia.org/wiki/Universal_Plug_and_Play