Suricata

มีอะไรใหม่ ในเวอร์ชัน 4.0.4:

• การรักษาความปลอดภัย:
• CVE-2018-6794 ได้รับการร้องขอสำหรับฉบับที่ 2440
• การเปลี่ยนแปลง:
• ข้อผิดพลาด # 2306: การปิดทับ deadicocks 4 ระหว่างการล็อกเอาท์พุทล้มเหลวอีกครั้ง
• ข้อผิดพลาด # 2361: โหลดโหลดคุกกี้ใหม่
• ข้อผิดพลาด # 2389: BUG_ON อ้างสิทธิ์ใน AppLayerIncFlowCounter (4.0.x)
• ข้อผิดพลาด # 2392: libhtp 0.5.26 (4.0.x)
• ข้อผิดพลาด # 2422: [4.0.3] af_packet: การรั่วไหลซึ่งอาจทำให้ช่องทางอินไลน์มีช่องว่าง
• ข้อผิดพลาด # 2438: ปัญหาการแยกวิเคราะห์การกำหนดค่าต่างๆ
• ข้อผิดพลาด # 2439: แก้ไข timestamp แบบออฟไลน์เมื่อ pcap timestamp เป็นศูนย์ (4.0.x)
• ข้อผิดพลาด # 2440: สตรีมบายพาสสตรีม (4.0.x)
• Bug # 2441: der parser: การป้อนข้อมูลไม่ถูกต้องจะใช้ซีพียูและหน่วยความจำ (4.0.x)
• Bug # 2443: บัฟเฟอร์หน่วยความจำ DNP3 memcpy ล้น (4.0.x)
• ข้อผิดพลาด # 2444: สนิม / dns: การถ่ายโอนข้อมูลหลักที่มีการเข้าชมที่ไม่สมบูรณ์ (4.0.x)
• Bug # 2445: http bodies / file_data: การสร้างเนื้อที่ของเธรดที่เขียนออกมาจากขอบเขต

มีอะไรใหม่ ในเวอร์ชัน:

• คุณลักษณะ # 2245: ตัวถอดรหัสสำหรับการเข้าใช้งาน ieee802.1AH
• ข้อผิดพลาด # 798: stats.log ใน yaml config - เพิ่มตัวเลือก - ขาดหายไป
• ข้อผิดพลาด # 891: detect-engine.profile ไม่ทำผิดพลาดในค่าที่ไม่ถูกต้อง - suricata.yaml
• ข้อผิดพลาด # 961: การแพ็กเกจตัวแปรที่รอการประมวลผลสูงสุดที่รอดำเนินการ
• ข้อผิดพลาด # 1185: napatech: cppcheck warning
• ข้อผิดพลาด # 2215: เหตุการณ์ที่ลืมเขียนไปยังซ็อกเก็ต unix
• ข้อผิดพลาด # 2230: valgrind memcheck - 4.0.0-dev (rev 1180687)
• ข้อผิดพลาด # 2250: ตรวจพบ: การผสมไบต์และการดึงข้อมูลเข้าสู่ FP & FN
• ข้อผิดพลาด # 2263: การจับคู่เนื้อหาที่ไม่ได้ใช้เมื่อใช้ dns_query ในการรับส่งข้อมูล udp
• ข้อผิดพลาด # 2274: การวิเคราะห์ ParseSizeString ใน util-misc.c: Null-pointer dereference
• ข้อผิดพลาด # 2275: ConfGetInt ใน conf.c: NULL-pointer dereference
• ข้อผิดพลาด # 2276: conf: NULL - ตัวชี้ dereference ใน CoredumpLoadConfig
• ข้อผิดพลาด # 2293: rules: depth & lt; กฎเนื้อหาไม่ได้ถูกปฏิเสธ
• ข้อผิดพลาด # 2324: segfault ใน http_start (4.0.x)
• ข้อผิดพลาด # 2325: Suricata segfaults on ICMP และ flowint check (4.0.x)



มีอะไรใหม่ ในเวอร์ชัน 4.0.1:

• การตรวจจับที่ปรับปรุงใหม่:
• ตามข้อเสนอแนะอันมีค่าจากทีมเขียนกฎที่ Emerging Threats and Positive Technologies เราได้เพิ่มและปรับปรุงคำหลักหลายกฎสำหรับการตรวจสอบ HTTP, SSH และโปรโตคอลอื่น ๆ การเพิ่ม TLS ได้รับการสนับสนุนโดย Mats Klepsland ที่ NorCERT รวมถึงการถอดรหัสการบันทึกและการจับคู่หมายเลขซีเรียล TLS นอกจากนี้ Suricata ยังอนุญาตให้ผู้เขียนกฎระบุว่าใครเป็นเป้าหมายในลายเซ็น ข้อมูลนี้ใช้ในการบันทึกข้อมูล EVE JSON เพื่อให้มีบริบทมากขึ้นพร้อมด้วยการแจ้งเตือน
• TLS ดีขึ้น NFS เพิ่ม:
• เพิ่มเติมเกี่ยวกับฝั่ง TLS: คุณลักษณะใหม่ที่สำคัญคือการสนับสนุน STARTTLS ใน SMTP และ FTP ตอนนี้ TLS จะเข้าสู่ระบบในกรณีเหล่านี้ ความดีเพิ่มเติมจาก Mats Klepsland นอกจากนี้การบันทึกการเข้าสู่ระบบอีกครั้งของเซสชั่น TLS ได้รับการสนับสนุนในขณะนี้ด้วยการทำงานของ Ray Ruvinskiy การปรับปรุงการบันทึกข้อมูล TLS เพิ่มเติมได้ดำเนินการโดย Paulo Pacheco
• ถอดรหัส NFS, บันทึกและสกัดไฟล์เป็นส่วนหนึ่งของการสนับสนุน Rust แบบทดลอง อ่านข้อมูลเพิ่มเติมเกี่ยวกับ Rust
• EVE JSON เพิ่มเติม:
• EVE ได้รับการขยายในหลายรูปแบบ ...
• ในกรณีที่มีการรับส่งข้อมูลที่อยู่ในห่อหุ้มทั้งแอดเดรส IP ภายในและภายนอกและพอร์ต
• สิ่งอำนวยความสะดวก "vars" จะบันทึกการไหลเวียนและ Vars อื่น ๆ นอกจากนี้ยังสามารถใช้เพื่อบันทึกข้อมูลที่สกัดจากการเข้าชมโดยใช้ข้อความ PCRE ในกฎ
• EVE สามารถหมุนตามเวลาได้
• EVE ได้รับการขยายเพื่อเลือกบันทึกคำขอ HTTP และ / หรือเนื้อหาการตอบกลับ
• บันทึกการไหล (บางส่วน) จะถูกเพิ่มลงในระเบียนการแจ้งเตือน
• สถานที่ 'vars' เป็นส่วนหนึ่งของการปรับปรุงหลักที่นี่เนื่องจากปัจจุบันลายเซ็นสามารถดึงข้อมูลสำหรับการบันทึกได้อย่างถูกต้อง ตัวอย่างเช่นลายเซ็นสามารถแยกเวอร์ชันซอฟต์แวร์ที่โฆษณาหรือข้อมูลอื่น ๆ เช่นผู้รับอีเมล [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• ขั้นตอนแรกสู่อนาคตที่ปลอดภัย:
• นี่เป็นครั้งแรกที่เราได้ติดตั้งส่วนต่างๆในภาษา Rust โดยใช้กรอบโครงสร้าง Nom parser งานนี้ได้รับแรงบันดาลใจจาก Pierre Chiffliers (ANSSI) พูดคุยที่ SuriCon 2016 (pdf) เมื่อคอมไพล์ด้วย -enable-rust คุณจะได้รับ parser NFS ขั้นพื้นฐานและการใช้งานตัวแบ่งส่วน DNS อีกครั้ง คำติชมเกี่ยวกับเรื่องนี้ได้รับการชื่นชมอย่างมาก
• การสนับสนุน Rust ยังคงมีการทดลองอยู่เนื่องจากเรากำลังดำเนินการต่อเพื่อศึกษาวิธีการทำงานการดำเนินการและสิ่งที่จะสนับสนุนในชุมชน นอกจากนี้เรายังรวมงาน Pierre parsers Chiffliers Rust ใช้ 'ลัง' ตัวแยกวิเคราะห์ Rust ภายนอกและเปิดใช้งานโดยใช้ -enable-rust-experiment ขั้นตอนนี้จะเพิ่มตัวแบ่งส่วน NTP
• ใต้ฝากระโปรง:
• รวมโปรแกรมปรับปรุงกระแสข้อมูล TCP ที่สำคัญ ซึ่งจะทำให้ประสิทธิภาพดีขึ้นและมีการตั้งค่าน้อยลงโดยเฉพาะในโหมด IPS ขั้นตอนแรกในการกู้คืน TCP GAP ถูกนำมาพร้อมกับการใช้งาน DNS และ NFS
• สำหรับนักพัฒนาซอฟต์แวร์รุ่นนี้ทำให้การเพิ่มเครื่องมือค้นหาด้วยคำหลักที่มีประสิทธิภาพสูงทำได้ง่ายขึ้น การเพิ่มคำหลักประสิทธิภาพสูงใหม่โดยใช้การจับคู่รูปแบบหลายรูปแบบจะต้องใช้โค้ดเพียงไม่กี่บรรทัด
• เอกสารอ้างอิง:
• David Wharton จาก SecureWorks ได้สร้างส่วนในเอกสารสำหรับนักเขียนกฎที่มีประวัติใน Snort เอกสารมีการเปลี่ยนแปลงที่เกี่ยวข้องกับการเขียนกฎ
• ขั้นตอนถัดไป:
• ตามข้อเสนอแนะที่เราคาดว่าจะได้รับการเผยแพร่ 4.0.1 ในหนึ่งเดือนหรือมากกว่านั้น จากนั้นเราจะเริ่มทำงานในเวอร์ชันหลักถัดไปซึ่งก็คือ 4.1 นี้มีการวางแผนสำหรับฤดูใบไม้ร่วงปลาย ETA ก่อน SuriCon ในปราก



มีอะไรใหม่ ในเวอร์ชัน 4.0.0:

• การตรวจจับที่ปรับปรุงใหม่:
• ตามข้อเสนอแนะอันมีค่าจากทีมเขียนกฎที่ Emerging Threats and Positive Technologies เราได้เพิ่มและปรับปรุงคำหลักหลายกฎสำหรับการตรวจสอบ HTTP, SSH และโปรโตคอลอื่น ๆ การเพิ่ม TLS ได้รับการสนับสนุนโดย Mats Klepsland ที่ NorCERT รวมถึงการถอดรหัสการบันทึกและการจับคู่หมายเลขซีเรียล TLS นอกจากนี้ Suricata ยังอนุญาตให้ผู้เขียนกฎระบุว่าใครเป็นเป้าหมายในลายเซ็น ข้อมูลนี้ใช้ในการบันทึกข้อมูล EVE JSON เพื่อให้มีบริบทมากขึ้นพร้อมด้วยการแจ้งเตือน
• TLS ดีขึ้น NFS เพิ่ม:
• เพิ่มเติมเกี่ยวกับฝั่ง TLS: คุณลักษณะใหม่ที่สำคัญคือการสนับสนุน STARTTLS ใน SMTP และ FTP ตอนนี้ TLS จะเข้าสู่ระบบในกรณีเหล่านี้ ความดีเพิ่มเติมจาก Mats Klepsland นอกจากนี้การบันทึกการเข้าสู่ระบบอีกครั้งของเซสชั่น TLS ได้รับการสนับสนุนในขณะนี้ด้วยการทำงานของ Ray Ruvinskiy การปรับปรุงการบันทึกข้อมูล TLS เพิ่มเติมได้ดำเนินการโดย Paulo Pacheco
• ถอดรหัส NFS, บันทึกและสกัดไฟล์เป็นส่วนหนึ่งของการสนับสนุน Rust แบบทดลอง อ่านข้อมูลเพิ่มเติมเกี่ยวกับ Rust
• EVE JSON เพิ่มเติม:
• EVE ได้รับการขยายในหลายรูปแบบ ...
• ในกรณีที่มีการรับส่งข้อมูลที่อยู่ในห่อหุ้มทั้งแอดเดรส IP ภายในและภายนอกและพอร์ต
• สิ่งอำนวยความสะดวก "vars" จะบันทึกการไหลเวียนและ Vars อื่น ๆ นอกจากนี้ยังสามารถใช้เพื่อบันทึกข้อมูลที่สกัดจากการเข้าชมโดยใช้ข้อความ PCRE ในกฎ
• EVE สามารถหมุนตามเวลาได้
• EVE ได้รับการขยายเพื่อเลือกบันทึกคำขอ HTTP และ / หรือเนื้อหาการตอบกลับ
• บันทึกการไหล (บางส่วน) จะถูกเพิ่มลงในระเบียนการแจ้งเตือน
• สถานที่ 'vars' เป็นส่วนหนึ่งของการปรับปรุงหลักที่นี่เนื่องจากปัจจุบันลายเซ็นสามารถดึงข้อมูลสำหรับการบันทึกได้อย่างถูกต้อง ตัวอย่างเช่นลายเซ็นสามารถแยกเวอร์ชันซอฟต์แวร์ที่โฆษณาหรือข้อมูลอื่น ๆ เช่นผู้รับอีเมล [https://blog.inliniac.net/2016/12/20/suricata-bits-ints-and-vars/]
• ขั้นตอนแรกสู่อนาคตที่ปลอดภัย:
• นี่เป็นครั้งแรกที่เราได้ติดตั้งส่วนต่างๆในภาษา Rust โดยใช้กรอบโครงสร้าง Nom parser งานนี้ได้รับแรงบันดาลใจจาก Pierre Chiffliers (ANSSI) พูดคุยที่ SuriCon 2016 (pdf) เมื่อคอมไพล์ด้วย -enable-rust คุณจะได้รับ parser NFS ขั้นพื้นฐานและการใช้งานตัวแบ่งส่วน DNS อีกครั้ง คำติชมเกี่ยวกับเรื่องนี้ได้รับการชื่นชมอย่างมาก
• การสนับสนุน Rust ยังคงมีการทดลองอยู่เนื่องจากเรากำลังดำเนินการต่อเพื่อศึกษาวิธีการทำงานการดำเนินการและสิ่งที่จะสนับสนุนในชุมชน นอกจากนี้เรายังรวมงาน Pierre parsers Chiffliers Rust ใช้ 'ลัง' ตัวแยกวิเคราะห์ Rust ภายนอกและเปิดใช้งานโดยใช้ -enable-rust-experiment ขั้นตอนนี้จะเพิ่มตัวแบ่งส่วน NTP
• ใต้ฝากระโปรง:
• รวมโปรแกรมปรับปรุงกระแสข้อมูล TCP ที่สำคัญ ซึ่งจะทำให้ประสิทธิภาพดีขึ้นและมีการตั้งค่าน้อยลงโดยเฉพาะในโหมด IPS ขั้นตอนแรกในการกู้คืน TCP GAP ถูกนำมาพร้อมกับการใช้งาน DNS และ NFS
• สำหรับนักพัฒนาซอฟต์แวร์รุ่นนี้ทำให้การเพิ่มเครื่องมือค้นหาด้วยคำหลักที่มีประสิทธิภาพสูงทำได้ง่ายขึ้น การเพิ่มคำหลักประสิทธิภาพสูงใหม่โดยใช้การจับคู่รูปแบบหลายรูปแบบจะต้องใช้โค้ดเพียงไม่กี่บรรทัด
• เอกสารอ้างอิง:
• David Wharton จาก SecureWorks ได้สร้างส่วนในเอกสารสำหรับนักเขียนกฎที่มีประวัติใน Snort เอกสารมีการเปลี่ยนแปลงที่เกี่ยวข้องกับการเขียนกฎ
• ขั้นตอนถัดไป:
• ตามข้อเสนอแนะที่เราคาดว่าจะได้รับการเผยแพร่ 4.0.1 ในหนึ่งเดือนหรือมากกว่านั้น จากนั้นเราจะเริ่มทำงานในเวอร์ชันหลักถัดไปซึ่งก็คือ 4.1 นี้มีการวางแผนสำหรับฤดูใบไม้ร่วงปลาย ETA ก่อน SuriCon ในปราก



มีอะไรใหม่ ในเวอร์ชัน 3.2.1:

• คุณลักษณะ # 1951: อนุญาตให้สร้างโดยไม่มี libmagic / ไฟล์
• คุณลักษณะ # 1972: SURICATA ICMPv6 ไม่ทราบประเภท 143 สำหรับรายงาน MLDv2
• คุณลักษณะ # 2010: Suricata ควรยืนยันการปรากฏตัว SSSE3 ในขณะทำงานโดยใช้การสนับสนุน Hyperscan
• ข้อผิดพลาด # 467: การรวบรวมข้อมูลด้วย unittests และการตรวจแก้จุดบกพร่อง
• ข้อผิดพลาด # 1780: แท็ก VLAN ไม่ได้รับการส่งต่อในโหมดบรรทัดใน afpacket
• ข้อผิดพลาด # 1827: Mpm AC ไม่สามารถจัดสรรหน่วยความจำ
• ข้อผิดพลาด # 1843: Mpm Ac: int ล้นระหว่าง init
• ข้อผิดพลาด # 1887: pcap-log ตั้งค่า snaplen เป็น -1
• ข้อผิดพลาด # 1946: ไม่สามารถรับข้อมูลการตอบสนองได้ในบางสถานการณ์
• ข้อผิดพลาด # 1973: suricata ไม่สามารถเริ่มทำงานได้เนื่องจากซ็อกเก็ต unix
• ข้อผิดพลาด # 1975: การรั่วไหลของหน่วยความจำ hostbits / xbits
• ข้อผิดพลาด # 1982: tls: เหตุการณ์การบันทึกที่ไม่ถูกต้องจะเรียกใช้การเข้าชมที่ถูกต้อง
• ข้อผิดพลาด # 1984: http: ปัญหาการตรวจหาโปรโตคอลหากทั้งสองฝ่ายมีรูปแบบไม่ถูกต้อง
• ข้อผิดพลาด # 1985: pcap-log: การรั่วไหลของหน่วยความจำเล็กน้อย
• Bug # 1987: log-pcap: ไฟล์ pcap ที่สร้างด้วย snaplen ที่ไม่ถูกต้อง
• ข้อผิดพลาด # 1988: ข้อบกพร่อง tls_cert_subject
• ข้อผิดพลาด # 1989: การตรวจหาโปรโตคอล SMTP เป็นกรณี ๆ ไป
• ข้อผิดพลาด # 1991: Suricata ไม่สามารถแยกวิเคราะห์พอร์ตต่างๆ: & quot;! [1234, 1235] & quot;
• ข้อผิดพลาด # 1997: tls-store: ข้อผิดพลาดที่ทำให้ Suricata เกิดความผิดพลาด
• ข้อผิดพลาด # 2001: การจัดการการตอบสนอง DNS ที่ไม่พึงประสงค์
• ข้อผิดพลาด # 2003: เนื้อหา BUG_ON บางครั้งมีโค้ดด้านข้างที่มีผลบังคับใช้
• ข้อผิดพลาด # 2004: การคำนวณกัญชาไฟล์ไม่ถูกต้องเมื่อมีการใช้แรงแรงเหวี่ยง
• ข้อผิดพลาด # 2005: ขนาดที่ไม่สอดคล้องกันระหว่างคำขอจับภาพและความยาว http
• ข้อผิดพลาด # 2007: smb: การตรวจสอบโปรโตคอลจะตรวจสอบเซิร์ฟเวอร์
• ข้อผิดพลาด # 2008: Suricata 3.2, pcap-log ไม่ทำงานเนื่องจาก timestamp_pattern PCRE
• Bug # 2009: Suricata ไม่สามารถโหลดการตั้งค่าเมื่อทำงานภายใต้ root ที่ไม่ใช่
• ข้อผิดพลาด # 2012: dns.log ไม่ได้บันทึกข้อความค้นหาที่ยังไม่ได้ตอบ
• ข้อผิดพลาด # 2017: EVE บันทึกฟิลด์ที่หายไป
• ข้อผิดพลาด # 2019: ปัญหาการหลีกเลี่ยงการแบ่งแยก IPv4
• ข้อผิดพลาด # 2022: dns: หมดหน่วยความจำที่อ่านแล้ว



มีอะไรใหม่ ในเวอร์ชัน 3.2:

• การเปลี่ยนแปลงครั้งใหญ่:
• บายพาส
• กรองล่วงหน้า - คำหลักของแพคเก็ตที่รวดเร็ว
• การปรับปรุง TLS
• เพิ่มโปรโตคอล SCADA / ICS: DNP3 CIP / ENIP
• SHA1 / SHA256 สำหรับการจับคู่ไฟล์การบันทึกและการสกัด
• เอกสารสฟิงซ์
• การเปลี่ยนแปลงที่เล็กลง:
• ปิดการโหลด NIC โดยค่าเริ่มต้น
• ซ็อกเก็ตคำสั่ง unix ที่เปิดใช้งานโดยค่าเริ่มต้น
• สถิติชั้นแอป
• ใต้ฝาครอบ:
• เกลียวการทำให้เข้าใจง่าย (ล็อก API + ไม่มีการรีสตาร์ทเธรดใหม่)
• การเพิ่มประสิทธิภาพการจัดการการไหล
• เพิ่มคำหลักที่ซับซ้อนขึ้น
• ปรับปรุงการจัดการหน่วยความจำ wrt ในการนำไปใช้งานขนาดใหญ่



มีอะไรใหม่ ในเวอร์ชัน 3.1.2:

• คุณลักษณะ # 1830: สนับสนุน 'แท็ก' ในบันทึกการเข้าสู่ระบบ
• คุณลักษณะ # 1870: ทำให้ flow_id ที่เข้าสู่ระบบมีเอกลักษณ์มากขึ้น
• คุณลักษณะ # 1874: สนับสนุนเส้นทางของ Cisco Fabric Path / DCE
• คุณลักษณะ # 1885: eve: เพิ่มตัวเลือกเพื่อล็อกไฟล์ที่ถูกทิ้งทั้งหมด
• คุณลักษณะ # 1886: dns: การกรองผลลัพธ์
• ข้อผิดพลาด # 1849: แจ้งเตือนการตรวจสอบ checksum ICMPv6 ไม่ถูกต้องหากมี FC FCS อยู่
• ข้อผิดพลาด # 1853: แก้ไขบัฟเฟอร์ dce_stub_data
• ข้อผิดพลาด # 1854: unified2: บันทึกการทำงานของแพ็คเก็ตที่ติดแท็กไม่ทำงาน
• ข้อผิดพลาด # 1856: ไม่พบอุปกรณ์โหมด PCAP
• ข้อผิดพลาด # 1858: ตัวเลือกข้อมูลซ้ำซ้อน TCP / ข้อมูล DNS ที่มีรูปแบบไม่ถูกต้อง 'หลังจากอัปเกรดจาก 3.0.1 เป็น 3.1.1
• ข้อผิดพลาด # 1878: dns: เกิดข้อขัดข้องขณะล็อกระเบียน sshfp
• ข้อผิดพลาด # 1880: แพคเก็ตข้อผิดพลาดของ icmpv4 สามารถนำไปสู่การตรวจจับที่ไม่ได้รับใน tcp / udp
• ข้อผิดพลาด # 1884: libhtp 0.5.22



มีอะไรใหม่ ในเวอร์ชัน 3.1.1:

• คุณลักษณะ # 1775: Lua: SMTP-support
• ข้อผิดพลาด # 1419: ปัญหาการจัดการธุรกรรม DNS
• ข้อผิดพลาด # 1515: ปัญหาเกี่ยวกับ Threshold.config เมื่อใช้มากกว่าหนึ่ง IP
• ข้อผิดพลาด # 1664: การสืบค้นข้อมูล DNS ที่ยังไม่ถูกแปลออกไม่ได้ถูกบันทึกไว้เมื่ออายุการทำงานหมด
• ข้อผิดพลาด # 1808: ไม่สามารถตั้งค่าลำดับความสำคัญของเธรดหลังจากลบสิทธิ์
• ข้อผิดพลาด # 1821: Suricata 3.1 ไม่สามารถเริ่มทำงานใน CentOS6
• ข้อผิดพลาด # 1839: suricata 3.1 configure.ac says & gt; = libhtp-0.5.5 แต่ต้อง & gt; = libhtp-0.5.20
• ข้อผิดพลาด # 1840: -list-keywords และ -list-app-layer-protos ไม่ทำงาน
• ข้อผิดพลาด # 1841: libhtp 0.5.21
• Bug # 1844: netmap: โหมด IPS ไม่ได้ตั้งค่า iface 2 ในโหมด promisc
• ข้อผิดพลาด # 1845: เกิดข้อผิดพลาดในการปิดใช้โปรโตคอลระดับแอปขณะที่มีการเปิดใช้งานเครื่องมือบันทึกข้อมูล
• การเพิ่มประสิทธิภาพ # 1846: af-packet: ปรับปรุงตรรกะการคำนวณเธรด
• การเพิ่มประสิทธิภาพ # 1847: กฎ: อย่าเตือนเกี่ยวกับไฟล์ที่ว่างเปล่า



มีอะไรใหม่ ในเวอร์ชัน 3.0.1:

• ปรับปรุงตัวเลือกการตรวจสอบรวมทั้งการเช่าหลายรูปแบบและ xbits
• ประสิทธิภาพและความสามารถในการปรับขยายได้ดีขึ้นมาก
• ความถูกต้องและความทนทานที่ดีขึ้นมาก
• ความสามารถในการเขียนสคริปต์ Lua ได้ขยายอย่างมาก
• การปรับปรุงการแสดงผลจำนวนมากรวมทั้ง JSON มากขึ้น
• การสนับสนุนวิธีการจับภาพ NETMAP โดยเฉพาะที่น่าสนใจสำหรับผู้ใช้ FreeBSD
• การตรวจสอบ SMTP และการสกัดไฟล์

มีอะไรใหม่ ในเวอร์ชัน 3.0:
• ตัวเลือกการตรวจหาที่ปรับปรุงใหม่ซึ่งรวมถึง multi-tenancy และ xbits
  li>
• ประสิทธิภาพและความสามารถในการปรับขยายได้ดีขึ้นมาก
• ความถูกต้องและความทนทานที่ดีขึ้นมาก
• ความสามารถในการเขียนสคริปต์ Lua ได้ขยายอย่างมาก
• การปรับปรุงการแสดงผลจำนวนมากรวมทั้ง JSON มากขึ้น
• การสนับสนุนวิธีการจับภาพ NETMAP โดยเฉพาะที่น่าสนใจสำหรับผู้ใช้ FreeBSD
• การตรวจสอบ SMTP และการสกัดไฟล์



มีอะไรใหม่ ในเวอร์ชัน 2.0.9:

• การเปลี่ยนแปลง:
• ข้อผิดพลาด # 1385: ปัญหาการแยกวิเคราะห์การเข้าชม DCERPC
• ข้อผิดพลาด # 1391: ปัญหาการแยกวิเคราะห์ http uri
• ข้อผิดพลาด # 1383: ปัญหาหน้าต่างกลางแม่น้ำ tcp
• ข้อผิดพลาด # 1318: ปัญหาการซิงค์เธรดใน streamTCP
• ข้อผิดพลาด # 1375: การถดถอยในคำหลักของรายการ
• ข้อผิดพลาด # 1387: pcap-file ค้างอยู่ในระบบที่ไม่มีการสนับสนุน atomics
• ข้อผิดพลาด # 1395: การเรียงลำดับข้อมูลล้มเหลวของซ็อกเก็ต Unix ล้มเหลว
• การเพิ่มประสิทธิภาพ # 1376: ไม่ได้ทำความสะอาดไฟล์
• การรักษาความปลอดภัย:
• ปัญหาการแยกวิเคราะห์ DCERPC มี CVE-2015-0928 ที่กำหนดไว้


มีอะไรใหม่ ในเวอร์ชัน 2.0.7:
• การเปลี่ยนแปลง:
• ข้อผิดพลาด # 1385: ปัญหาการแยกวิเคราะห์การเข้าชม DCERPC
• ข้อผิดพลาด # 1391: ปัญหาการแยกวิเคราะห์ http uri
• ข้อผิดพลาด # 1383: ปัญหาหน้าต่างกลางแม่น้ำ tcp
• ข้อผิดพลาด # 1318: ปัญหาการซิงค์เธรดใน streamTCP
• ข้อผิดพลาด # 1375: การถดถอยในคำหลักของรายการ
• ข้อผิดพลาด # 1387: pcap-file ค้างอยู่ในระบบที่ไม่มีการสนับสนุน atomics
• ข้อผิดพลาด # 1395: การเรียงลำดับข้อมูลล้มเหลวของซ็อกเก็ต Unix ล้มเหลว
• การเพิ่มประสิทธิภาพ # 1376: ไม่ได้ทำความสะอาดไฟล์
• การรักษาความปลอดภัย:
• ปัญหาการแยกวิเคราะห์ DCERPC มี CVE-2015-0928 ที่กำหนดไว้



มีอะไรใหม่ ในเวอร์ชัน 2.0.6:

• ข้อผิดพลาด # 1364: ปัญหาการหลีกเลี่ยง
• ข้อผิดพลาด # 1337: เอาต์พุต json: การบันทึกข้อมูลซ้ำกัน
• ข้อผิดพลาด # 1325: การตรวจจับ tls ทำให้เกิดข้อผิดพลาดเกี่ยวกับการจัดเรียงลำดับของกระแสข้อมูลใหม่ (IPS)
• ข้อผิดพลาด # 1192: Suricata ไม่ได้รวบรวมบน OS X / Clang เนื่องจากมีการกำหนดนิยามใหม่ของฟังก์ชันสตริง
• ข้อผิดพลาด # 1183: pcap: คำเตือน cppcheck


• ข้อผิดพลาด # 1190: คำหลัก http_header ไม่ตรงกันเมื่อ SYN | ACK และ ACK ขาดหายไป
• ข้อผิดพลาด # 1246: ออก EVE ซ็อกเก็ตโดเมน Unix ไม่ทำงาน
• ข้อผิดพลาด # 1272: การแยกส่วนใน libhtp 0.5.15
• ข้อผิดพลาด # 1298: การแยกวิเคราะห์คำหลักของ Filestore
• ข้อผิดพลาด # 1303: ปรับปรุงการตรวจหา 'อัปเดตหน้าต่างที่ไม่ถูกต้อง' กระแสข้อมูล
• ข้อผิดพลาด # 1304: ปรับปรุงการจัดการสตรีมของค่า SACK ที่ไม่ถูกต้อง
• ข้อผิดพลาด # 1305: แก้ไขเซสชันทีซีซีใช้ซ้ำสำหรับเซสชัน ssh / ssl
• ข้อผิดพลาด # 1307: byte_extract ภายในชุดค่าผสมไม่ทำงาน
• ข้อผิดพลาด # 1326: การจับภาพพีซี / โฟลว์ล้มเหลวสำหรับการจับคู่ที่ไม่ใช่ญาติ
• ข้อผิดพลาด # 1329: กำลังประมวลผลและโหลด กฎไม่ถูกต้อง
• ข้อผิดพลาด # 1330: ข้อผิดพลาดในการทำธุรกรรมการบันทึกข้อบกพร่องในการทำธุรกรรม (2.0.x)



มีอะไรใหม่ ในเวอร์ชัน 2.0.4:

• การเปลี่ยนแปลง:
• ข้อผิดพลาด # 1276: ปัญหาเกี่ยวกับการจัดเรียงไฟล์ ipv6 กับส่วนหัวเส้นทาง
• ข้อผิดพลาด # 1278: ปัญหา
• ข้อผิดพลาด # 1254: มีข้อผิดพลาดในการแยกวิเคราะห์ข้อความเกี่ยวกับคำหลักที่มีการแก้ไขรูปแบบไม่ถูกต้อง
• ข้อผิดพลาด # 1267: ปัญหาเกี่ยวกับการบันทึกข้อมูล ipv6
• ข้อผิดพลาด # 1273: Lua - http.request_line ไม่ทำงาน
• ข้อผิดพลาด # 1284: AF_PACKET โหมด IPS ไม่บันทึกหยดและสตรีมอินไลน์ปัญหา
• การรักษาความปลอดภัย:
• CVE-2014-6603


• ข้อผิดพลาด # 1236: แก้ไขข้อผิดพลาดที่อาจเกิดขึ้นในการแยกวิเคราะห์ http
• ข้อผิดพลาด # 1244: ปัญหาการจัดเรียงข้อมูล ipv6
• ข้อผิดพลาด # 1238: การหลีกเลี่ยงที่อาจเกิดขึ้นในสตรีม -tcp-reassemble.c
• ข้อผิดพลาด # 1221: ตารางแปลงเล็ก ๆ น้อย ๆ มีค่าล่าสุด
• การสนับสนุน # 1207: ไม่สามารถคอมไพล์ใน CentOS 5 x64 พร้อมกับเปิดใช้งานโปรไฟล์
• อัปเดต libhtp แบบรวมเป็น 0.5.15



มีอะไรใหม่ ในเวอร์ชัน 2.0 RC1:

• เอาต์พุต JSON แบบรวมถูกเพิ่มแล้ว การจัดการ VLAN ได้รับการปรับปรุงแล้ว
• สนับสนุน QinQ เพิ่มแล้ว
• เพิ่มตัวเลือกบรรทัดคำสั่งสำหรับแทนที่การตั้งค่าแล้ว
• การจัดการ ICMPv6 ดีขึ้น
• เพิ่ม Memcaps สำหรับการจัดการ DNS และ HTTP แล้ว
• มีการปรับปรุงการจับภาพหลายรายการ
• เพิ่มรันไทม์ NSM ที่ได้รับการปรับปรุงแล้ว
• มีการแก้ไขปัญหาอื่น ๆ อีกหลายอย่าง


• การสนับสนุน VLAN ได้รับการปรับปรุงแล้ว

มีอะไรใหม่ ในเวอร์ชัน 2.0 Beta 2:

• เพิ่มตัวเลือก IP Defrag
• มีการเพิ่มตัวเลือกสำหรับการเปิดใช้งานและปิดใช้งานโปรซีเจอร์โปรโตคอล
• ตรวจพบโปรโตคอลได้รับการปรับปรุงแล้ว
• ปรับปรุง IPv6 ขึ้นแล้ว
• การตรวจสอบ HTTP ได้รับการปรับปรุงแล้ว
• มีการขยายตัวเลือกโปรไฟล์แล้ว
• มีการเปลี่ยนแปลงเพิ่มเติม



มีอะไรใหม่ ในเวอร์ชัน 1.4.7:

• แก้ไข:
• ข้อผิดพลาด # 996: แท็กคำหลัก: เซสชันการแท็กต่อเวลาเสีย
• ข้อผิดพลาด # 1000: ล่าช้าตรวจหาเกณฑ์ก่อนที่จะใช้ de_ctx
• ข้อผิดพลาด # 1001: ปัญหาการโหลด ip_rep มีหลายค่าสำหรับ ip เดียว
• ข้อผิดพลาด # 1022: StreamTcpPseudoPacketSetupHeader: ตรรกะการสลับพอร์ตไม่สอดคล้องกัน
• ข้อผิดพลาด # 1047: detect-engine.profile - การแยกวิเคราะห์ค่าที่กำหนดเองเสีย
• ข้อผิดพลาด # 1063: กฎที่สั่งซื้อด้วย vars หลาย ๆ เครื่อง


• ข้อผิดพลาด 958: ระเบียน SSL ที่มีรูปแบบไม่ถูกต้องซึ่งนำไปสู่ความผิดพลาด

  มีอะไรใหม่ รายงานโดย Sebastian Roschke CVE-2013-5919.

• ข้อผิดพลาด 971: ตัวจับคู่รูปแบบ AC อยู่นอกหน่วยความจำของขอบเขต
• ข้อผิดพลาด 965: ปรับปรุงการจัดการเนื้อหาที่ไม่เหมาะสม รายงานโดยเมทคาล์ฟ
• ข้อผิดพลาด 937: แก้ไขการถอดรหัส IPv6-in-IPv6
• ข้อผิดพลาด 934: ปรับปรุงการแยกที่อยู่
• ข้อผิดพลาด 969: แก้ไข unified2 ไม่ใช่การบันทึกข้อมูลที่บันทึกไว้ในแพ็กเก็ต


• ปัญหา IPv6 ถูกแก้ไข

มีอะไรใหม่ ในเวอร์ชัน 1.4.5:

17 Aug 18