Gilt für
Produkte: WLAN in der WatchGuard Cloud
Produkte: Firebox und XTM
Betriebssystem: WLAN in der WatchGuard Cloud
Betriebssystem: Fireware
Problemstatus: Gelöst
Status und Tracking
Sendungsverfolgungs-ID: WIFI-8687, FBX-26098
Status: Gelöst
Gelöst in: IPS-Signatur-Update v18.296 und v4.1452
Beschreibung
Datenverkehr von Zugriffspunkten, die von WatchGuard Cloud verwaltet werden, löst die IPS-Signatur-ID „1232163“ auf WatchGuard Fireboxes mit aktiviertem IPS (Intrusion Prevention Service) aus.
Diese aktuelle Signatur schützt vor der Sicherheitslücke „WEB cURL and libcurl HTTP Response Headers Parsing Resource Exhaustion -2 (CVE-2023-38039) state 0“.
In den Protokollen sehen Sie einen Eintrag ähnlich dem folgenden:
15.12.2023 12:56:16 Verweigern 172.20.0.202 142.251.33.99 http/tcp 36100 80 Vertrauenswürdig 64 – Externes IPS erkannt 112 64 (HTTP-Proxy-00) proc_id=“Firewall“ rc=“301″ msg_id=“3000-0150″ src_ip_nat=“203.0.113.136″ tcp_info=“Offset 5 A 2749013571 Win 62977″ Signaturname=“WEB cURL und libcurl HTTP-Antwortheader analysieren Ressourcenerschöpfung -2 (CVE-2023-38039) Status 0″ Signatur_cat=“Webbedrohungen“ Signatur-ID=“1232163″ Schweregrad=“3″ sig_vers=“18.295″ geo_dst=“USA“
Problemumgehung/Lösung
Dieser Datenverkehr vom Zugriffspunkt dient einer grundlegenden Konnektivitätsprüfung zu einer Google-Domäne und kann ignoriert werden. Alternativ können Sie eine Ausnahme für die Signatur erstellen, bis das Problem behoben ist.
WatchGuard arbeitet mit dem Signaturanbieter zusammen, um die Signatur zu korrigieren oder zu entfernen, da sie alle Geräte betreffen könnte, die libcurl verwenden.
Um eine Signaturausnahme in IPS zu erstellen, gehen Sie zu „IPS-Ausnahmen konfigurieren“ im Hilfe-Center.
Informationen zum Konfigurieren von IPS-Signaturaktualisierungen finden Sie im Hilfe-Center unter „IPS-Aktualisierungsserver konfigurieren“.
