为什么我I看到潜在的误报大幅增加UTID: 38249?
7111
Created On 02/18/22 18:25 PM - Last Modified 03/02/23 02:41 AM
Question
为什么我I看到潜在的误报大幅增加UTID: 38249?
Answer
UTID: 38249 最初于 2015-08-25 发布以提供保护CVE-2015-1692。这CVE是 Internet Explorer 6-11 中的一个严重漏洞。 2022 年 2 月 3 日,签名的修订版与内容更新 8523 一起发布。
客户报告急剧增加JS脚本被阻止firewall作为误报。 Palo Alto Networks 正在研究发布 911 版本以禁用此签名。
如果客户报告此签名的误报,他们可以实施威胁异常以允许有效流量。 由于这是一个漏洞签名,因此可以将异常固定到仅受信任的 IP。 以下文档概述了威胁例外情况。
创建威胁例外
UPDATE:A的修改版本UTID38249 于 2021 年 3 月 18 日在 911 内容更新版本 8530 中发布。
Additional Information
参考:
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2015/ms15-043?redirectedfrom=MSDN
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015 -1692