Snort mailing list archives
Re: Snort Sig 4135 IE JPEG heap overflow problem
From: Alex Kirk <alex.kirk () sourcefire com>
Date: Wed, 24 Aug 2005 15:56:01 -0400
The byte tests are the important piece of detection here. Before I can explain what they're doing, though, I need to give people quick overview of how JPEGs are structured (this is not necessarily perfect or complete, but it's at least usable).
* Start-of-Image marker (0xFF 0xD8), JPEG marker * Quantization Tables (each marked by 0xFF 0xDB) * Frame * Start-of-Frame marker (0xFF 0xC[^4]) * Size of frame header (2 bytes) * Precision (1 byte) * Number of lines (2 bytes) * Samples/line (2 bytes) * Number of components (1 byte) * For each component, the following: * ID (1 byte) * Sampling Factors (1 byte) * Quantization Table selector (1 byte) * Huffman Tables or Arithmetic Coding Tables (0xFF 0xC4 or 0xFF 0xCC) * Scan * Start-of-Scan marker (0xFF 0xDA) * Size of scan header (2 bytes) * Number of components in scan (1 byte -- can only be 1-4) * For each component, the following: * Component ID (1 byte -- corresponds to frame components defined above) * Entropy coding table selector (1 byte) ...The vulnerability arises when the order of the scan components does not match up with the order of the frame components. For example, if in the frame header the component IDs were defined as
1, 2, 3 but in the scan header, the component ID selectors were defined as 3, 2, 1the problem would occur. Note that the issue is heap corruption, so this does not necessarily cause an immediate crash (my testing showed that it took some random number of loads of a malicious image between 1 and about 10 lto cause a crash).
The VRT's research indicated that there were only two acceptable sequences of scan components when 3 were present:
1, 2, 3 1, 4, 5However, your false positives prove otherwise -- especially since the image you sent me (FP #2 below) does render correctly. Thus, we need to further research the possible combinations (and indeed whether there really is a fixed set of possible combinations) and revise the rule accordingly. Since this could take some time, I would recommend disabling the rule for now if it's causing you trouble.
Alex Kirk Research Analyst Sourcefire, Inc.
Help, this new signature keeps giving me FP’s and I can’t figure out what the code is looking for.Here is the signature:alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"WEB-CLIENT IE JPEG heap overflow single packet attempt"; flow:to_client,established; content:"image/";nocase; pcre:"/^Content-Type\s*\x3a\s*image\x2fp?jpe?g/smi"; content:"|FF DA|"; content:"|03|"; within:1; distance:2; byte_test:1,!=,1,0,relative; byte_test:1,!=,2,1,relative; byte_test:1,!=,4,-1,relative; byte_test:1,!=,3,1,relative; byte_test:1,!=,5,-1,relative;I’m no programmer but it looks like it’s looking for a jpeg that contains the hex FF DA and 03 within 2 byte range? I don’t see the logic behind this or how this looks for these vulnerabilities. Can someone enlighten me, or is this just a poor signature I should exclude for now? Thanks.A few packets from the FP’s are below. Jon Scheidell bugtraq: 14282 <http://www.securityfocus.com/bid/14282> bugtraq: 14284 <http://www.securityfocus.com/bid/14284> cve: 2005-1988 <http://cve.mitre.org/cgi-bin/cvename.cgi?name=2005-1988>url: www.microsoft.com/technet/security/bulletin/MS05-038.mspx <http://www.microsoft.com/technet/security/bulletin/MS05-038.mspx>Some FP, packets: 1.) 000 : 48 54 54 50 2F 31 2E 30 20 32 30 30 20 4F 4B 0D HTTP/1.0 200 OK. 010 : 0A 53 65 72 76 65 72 3A 20 41 70 61 63 68 65 2F .Server: Apache/ 020 : 32 2E 30 2E 35 30 20 28 55 6E 69 78 29 0D 0A 4C 2.0.50 (Unix)..L 030 : 61 73 74 2D 4D 6F 64 69 66 69 65 64 3A 20 4D 6F ast-Modified: Mo 040 : 6E 2C 20 32 38 20 4D 61 72 20 32 30 30 35 20 31 n, 28 Mar 2005 1 050 : 39 3A 32 31 3A 30 32 20 47 4D 54 0D 0A 45 54 61 9:21:02 GMT..ETa 060 : 67 3A 20 22 37 61 34 64 33 32 2D 31 35 61 38 2D g: "7a4d32-15a8- 070 : 37 31 64 32 30 33 38 30 22 0D 0A 41 63 63 65 70 71d20380"..Accep 080 : 74 2D 52 61 6E 67 65 73 3A 20 62 79 74 65 73 0D t-Ranges: bytes. 090 : 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A .Content-Length: 0a0 : 20 35 35 34 34 0D 0A 43 6F 6E 74 65 6E 74 2D 54 5544..Content-T 0b0 : 79 70 65 3A 20 69 6D 61 67 65 2F 6A 70 65 67 0D ype: image/jpeg. 0c0 : 0A 44 61 74 65 3A 20 57 65 64 2C 20 32 34 20 41 .Date: Wed, 24 A 0d0 : 75 67 20 32 30 30 35 20 31 34 3A 34 35 3A 35 38 ug 2005 14:45:58 0e0 : 20 47 4D 54 0D 0A 43 6F 6E 6E 65 63 74 69 6F 6E GMT..Connection 0f0 : 3A 20 6B 65 65 70 2D 61 6C 69 76 65 0D 0A 0D 0A : keep-alive.... 100 : FF D8 FF E0 00 10 4A 46 49 46 00 01 01 01 00 60 ......JFIF.....` 110 : 00 60 00 00 FF DB 00 43 00 04 03 03 04 03 03 04 .`.....C........ 120 : 04 03 04 05 04 04 05 06 0A 07 06 06 06 06 0D 09 ................ 130 : 0A 08 0A 0F 0D 10 10 0F 0D 0F 0E 11 13 18 14 11 ................ 140 : 12 17 12 0E 0F 15 1C 15 17 19 19 1B 1B 1B 10 14 ................ 150 : 1D 1F 1D 1A 1F 18 1A 1B 1A FF DB 00 43 01 04 05 ............C... 160 : 05 06 05 06 0C 07 07 0C 1A 11 0F 11 1A 1A 1A 1A ................ 170 : 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A ................ 180 : 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A ................ 190 : 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A 1A FF C2 ................ 1a0 : 00 11 08 00 55 00 82 03 D0 22 00 02 11 01 03 11 ....U...."...... 1b0 : 01 FF C4 00 1C 00 00 01 05 01 01 01 00 00 00 00 ................ 1c0 : 00 00 00 00 00 00 05 00 03 04 06 07 02 08 01 FF ................ 1d0 : C4 00 1A 01 00 02 03 01 01 00 00 00 00 00 00 00 ................ 1e0 : 00 00 00 00 03 04 01 02 05 00 06 FF DA 00 0C 03 ................ 1f0 : D0 00 02 10 03 10 00 00 01 C7 64 71 26 BE D2 54 ..........dq&..T 200 : C5 DD 43 DD 94 51 85 10 19 1A F7 4F B1 D9 74 A3 ..C..Q.....O..t. 210 : 26 62 3B D6 53 B5 5A 85 27 41 24 00 D2 88 DA E4 &b;.S.Z.'A$..... 220 : 0D 2F 1D A7 96 9E 73 F2 B6 6D 46 DB FE 5B EB D5 ./....s..mF..[.. 230 : 90 06 2F 3D 14 B3 51 B1 F2 F4 17 9D B1 24 38 E4 ../=..Q......$8. 240 : E3 91 65 D1 53 39 6A 97 98 EB F1 8A 27 03 58 86 ..e.S9j.....'.X. 250 : 30 0F 21 2F AB 50 1E C3 1E F6 18 22 F6 62 7D DF 0.!/.P.....".b}. 260 : 23 5A 86 5E F4 CD 45 96 DC 02 8F 7B 2A F7 95 E9 #Z.^..E....{*... 270 : 7E 72 ED 2D 50 9D 2D DC 4D ED 32 68 03 A9 AD 6F ~r.-P.-.M.2h...o 280 : 8D D9 5D CF 3D E2 44 E2 DC 5F D6 39 D1 CC E4 8B ..].=.D.._.9.... 290 : 5D 89 66 85 F2 DD B9 0D 16 EE 75 E6 FC 8E E8 2A ].f.......u....* 2a0 : 48 15 6A C5 DE 88 EF 30 5A 41 F2 65 9E BB B6 8C H.j....0ZA.e.... 2b0 : 22 ED AF 41 E5 BC 50 92 72 76 BA 8B 83 40 A1 99 "..A..P.rv...@.. 2c0 : 61 65 66 50 B8 B7 20 DF 85 4B FB 3B B5 AC 07 29 aefP.. ..K.;...) 2d0 : A5 DA 6A CC 52 AE 5A 43 27 42 CF AE 23 A9 74 B9 ..j.R.ZC'B..#.t. 2e0 : D0 CF F1 32 F8 B8 D2 9C 4A 27 B9 69 75 24 24 BA ...2....J'.iu$$. 2f0 : 5B 6D 2A DD 9E D2 8B C9 26 94 C1 89 C9 10 3D 70 [m*.....&.....=p 300 : 97 46 2C 92 8B FF 00 FF C4 00 26 10 00 02 02 02 .F,.......&..... 310 : 01 04 02 02 03 01 00 00 00 00 00 00 02 03 01 04 ................ 320 : 00 05 11 06 12 13 14 21 35 15 16 17 22 33 07 FF .......!5..."3.. 330 : DA 00 08 01 D0 00 01 05 02 5A C7 B2 16 18 35 D7 .........Z....5. 340 : 10 15 EB 96 4D 45 01 6A 2A 52 73 5B AA 1A F9 15 ....ME.j*Rs[.... 350 : 2B E7 A9 5F 22 9D 7C 8A 55 B2 29 55 CF 4A AE 06 +.._".|.U.)U.J.. 360 : BA B3 25 3D 36 B6 4A FA 6A 8E 6D 55 08 D9 AB FC ..%=6.J.j.mU.... 370 : F1 BF 0E 1C 47 07 0A A2 EE CD C9 F9 EA C6 78 C0 ....G.........x. 380 : 10 1F DA 43 4D 74 B2 BE 92 04 8E AD 90 C0 97 26 ...CMt.........& 390 : 3B BC 70 16 08 8F 75 10 3B 85 7F 9C 63 8B 97 8F ;.p...u.;..c... 3a0 : CE 05 78 80 D3 6C E6 C5 9E 46 E0 D1 D5 82 18 75 ..x..l...F.....u 3b0 : A9 2F 23 B3 D7 08 22 C3 6C B1 14 DB DE 0E EC 53 ./#...".l......S 3c0 : 3F A3 94 CA 5C A3 6F F6 DD 3D D1 D5 99 49 5A 9A ?...\.o..=...IZ. 3d0 : 09 89 55 64 0B B6 95 AB 86 EC BF 2D 14 FA 6A E2 ..Ud.......-..j. 3e0 : 26 A5 16 84 A3 CE 40 C9 E0 BE 60 A2 C0 48 52 6A &.....@...`..HRj 3f0 : 7C C6 6B 02 19 99 61 CF 6A FC 87 11 B8 FB 7D 1F |.k...a.j.....}. 400 : D2 5A EA 7D 55 42 BD D4 3B 1D 99 50 8D 93 F2 8D .Z.}UB..;..P.... 410 : 3D 8E 3F 4D 0F 5E B1 FE 85 DD 1D B9 BA 9D 8A 94 =.?M.^.......... 420 : 14 63 60 CB 10 13 F0 B6 C0 44 36 41 75 AE 79 B1 .c`......D6Au.y. 430 : 5C 16 12 7F B6 E6 38 DC 6A A2 0B A7 55 AF 12 5D \....8.j...U..] 440 : 5D 70 86 54 50 0C 77 2F 1C D1 ED DA D5 53 69 74 ]p.TP.w/.....Sit 450 : B5 FF 00 72 EF 50 55 65 CD 3A C7 89 5F 97 D7 AF ...r.PUe.:.._... 460 : 3E 6C D7 39 86 BA 40 80 35 77 46 71 9B CF BB D4 >l.9..@.5wFq.... 470 : 7D 0F C0 4F 77 72 D6 F9 00 65 A8 8C 2B DC C7 AC }..Owr...e..+... 480 : DB E1 5B 55 4E 91 DA DB 13 A5 1A CA A9 8E F0 4C ..[UN..........L 490 : 13 2A B4 E4 44 F2 B5 16 86 56 02 28 9F 8C DE 7D .*..D....V.(...} 4a0 : D0 EC BD 0E 98 B5 B5 5C 10 6C 20 88 1C F6 40 AC .......\.l ...@. 4b0 : 78 F2 02 64 6D 7C CD D8 1C 85 B2 49 40 E3 18 AE x..dm|.....I@... 4c0 : CE D3 A1 04 34 EB 47 0B 40 F8 C6 62 62 7E 73 79 ....4.G. () bb~sy 4d0 : F7 41 3E 4D 07 C6 09 76 E4 4E 77 65 97 71 07 76 .A>M...v.Nwe.q.v 4e0 : 47 29 79 5A 49 18 8C 5F 19 E5 09 36 AE 18 BD 7A G)yZI.._...6...z 4f0 : 6C 25 CA 3E 63 88 C9 CD E7 DD AF 64 71 AF 17 46 l%.>c......dq..F 500 : 43 06 30 5E 19 0D E7 1D 5E CB F2 35 82 18 0C 91 C.0^....^..5.... 510 : 91 7F 24 B7 C4 60 58 8C 5D A1 28 5B 4B BE B7 71 .$..`X.].([K..q 520 : 47 39 33 9B CF BA 56 E3 C6 AF CD 44 E4 6E 55 18 G93...V....D.nU. 530 : 3D 42 03 9F B3 E7 ED 19 FB 2E 4F 51 44 E7 E7 87 =B........OQD... 540 : 23 A8 22 30 7A 94 63 15 D5 EA 5E 2F AF C1 79 1F #."0z.c...^/..y. 550 : F4 9E 33 F9 2B 3F 92 72 ED 9F 72 EF FF C4 00 29 ..3.+?.r..r....) 560 : 11 00 02 02 .... .... 2.) 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK. 010 : 0A 43 6F 6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A .Content-Length: 020 : 20 34 32 36 35 0D 0A 43 6F 6E 74 65 6E 74 2D 54 4265..Content-T 030 : 79 70 65 3A 20 69 6D 61 67 65 2F 6A 70 65 67 0D ype: image/jpeg. 040 : 0A 43 6F 6E 74 65 6E 74 2D 4C 6F 63 61 74 69 6F .Content-Locatio 050 : 6E 3A 20 68 74 74 70 3A 2F 2F 77 77 77 2E 70 72 n: http://www.pr 060 : 65 73 73 64 65 6D 6F 63 72 61 74 2E 63 6F 6D 2F essdemocrat.com/ 070 : 66 72 6F 6E 74 5F 70 68 6F 74 6F 73 2F 73 74 61 front_photos/sta 080 : 67 65 2E 6A 70 67 0D 0A 4C 61 73 74 2D 4D 6F 64 ge.jpg..Last-Mod 090 : 69 66 69 65 64 3A 20 54 75 65 2C 20 32 33 20 41 ified: Tue, 23 A 0a0 : 75 67 20 32 30 30 35 20 31 32 3A 34 36 3A 34 38 ug 2005 12:46:48 0b0 : 20 47 4D 54 0D 0A 41 63 63 65 70 74 2D 52 61 6E GMT..Accept-Ran 0c0 : 67 65 73 3A 20 62 79 74 65 73 0D 0A 45 54 61 67 ges: bytes..ETag 0d0 : 3A 20 22 65 30 62 30 62 61 62 39 65 30 61 37 63 : "e0b0bab9e0a7c 0e0 : 35 31 3A 34 66 32 22 0D 0A 53 65 72 76 65 72 3A 51:4f2"..Server: 0f0 : 20 4D 69 63 72 6F 73 6F 66 74 2D 49 49 53 2F 36 Microsoft-IIS/6 100 : 2E 30 0D 0A 44 61 74 65 3A 20 57 65 64 2C 20 32 .0..Date: Wed, 2 110 : 34 20 41 75 67 20 32 30 30 35 20 31 33 3A 34 39 4 Aug 2005 13:49 120 : 3A 31 38 20 47 4D 54 0D 0A 0D 0A FF D8 FF EE 00 :18 GMT......... 130 : 0E 41 64 6F 62 65 00 64 00 00 00 00 00 FF DB 00 .Adobe.d........ 140 : 43 00 08 06 06 07 06 05 08 07 07 07 09 09 08 0A C............... 150 : 0C 14 0D 0C 0B 0B 0C 19 12 13 0F 14 1D 1A 1F 1E ................ 160 : 1D 1A 1C 1C 20 24 2E 27 20 22 2C 23 1C 1C 28 37 .... $.' ",#..(7 170 : 29 2C 30 31 34 34 34 1F 27 39 3D 38 32 3C 2E 33 ),01444.'9=82<.3 180 : 34 32 FF C0 00 11 08 00 36 00 50 03 52 11 00 47 42......6.P.R..G 190 : 11 00 42 11 00 FF C4 00 1F 00 00 01 05 01 01 01 ..B............. 1a0 : 01 01 01 00 00 00 00 00 00 00 00 01 02 03 04 05 ................ 1b0 : 06 07 08 09 0A 0B FF C4 00 B5 10 00 02 01 03 03 ................ 1c0 : 02 04 03 05 05 04 04 00 00 01 7D 01 02 03 00 04 ..........}..... 1d0 : 11 05 12 21 31 41 06 13 51 61 07 22 71 14 32 81 ...!1A..Qa."q.2. 1e0 : 91 A1 08 23 42 B1 C1 15 52 D1 F0 24 33 62 72 82 ...#B...R..$3br. 1f0 : 09 0A 16 17 18 19 1A 25 26 27 28 29 2A 34 35 36 .......%&'()*456 200 : 37 38 39 3A 43 44 45 46 47 48 49 4A 53 54 55 56 789:CDEFGHIJSTUV 210 : 57 58 59 5A 63 64 65 66 67 68 69 6A 73 74 75 76 WXYZcdefghijstuv 220 : 77 78 79 7A 83 84 85 86 87 88 89 8A 92 93 94 95 wxyz............ 230 : 96 97 98 99 9A A2 A3 A4 A5 A6 A7 A8 A9 AA B2 B3 ................ 240 : B4 B5 B6 B7 B8 B9 BA C2 C3 C4 C5 C6 C7 C8 C9 CA ................ 250 : D2 D3 D4 D5 D6 D7 D8 D9 DA E1 E2 E3 E4 E5 E6 E7 ................ 260 : E8 E9 EA F1 F2 F3 F4 F5 F6 F7 F8 F9 FA FF DA 00 ................ 270 : 0C 03 52 00 47 00 42 00 00 3F 00 D2 6D 7E 48 96 ..R.G.B..?..m~H. 280 : 28 21 F0 A5 A6 D8 E2 40 5D B0 AC C7 1D 72 17 A5 (!.....@]....r.. 290 : 69 36 BF 24 49 14 30 F8 52 D3 6C 71 20 2E D8 56 i6.$I.0.R.lq ..V 2a0 : 63 8E B9 0B D2 AF 9F 10 3C 4B 14 10 F8 52 D3 6C c.......<K...R.l 2b0 : 71 20 2E D8 56 63 8E B9 0B D2 A9 5C F8 86 53 F7 q ..Vc.....\..S. 2c0 : BC 35 02 7F BB 2E 3F F6 5A A5 73 E2 19 4F DE F0 .5...?.Z.s..O.. 2d0 : D4 09 FE EC B8 FF 00 D9 6A 9D CF 88 65 3F 7B C3 ........j...e?{. 2e0 : 50 27 FB B2 E3 FF 00 65 AA 6F 7F 69 2D 8C D7 37 P'.....e.oi-..7 2f0 : 3A 44 91 AC 7F 7C 20 0C 3F 3E 2A 9B DF DA 4B 65 :D..| .?>*...Ke 300 : 35 CD CE 91 24 6B 1F DF 08 03 0F CF 8A A5 25 FD 5...$k........%. 310 : A4 B6 13 5C DC E9 12 46 B1 FD F0 80 30 FC F8 A2 ...\...F....0... 320 : 1B 51 AA DC DA A4 96 8B 16 99 2C 2C C9 11 55 0D .Q........,,..U. 330 : B9 41 C1 27 AD 2C 36 A3 55 B9 B5 49 2D 16 2D 32 .A.'.,6.U..I-.-2 340 : 58 59 92 22 AA 1B 72 83 82 4F 5A 48 2D 97 54 BA XY."..r..OZH-.T. 350 : B6 49 6D 56 2D 32 58 58 A4 45 57 76 E5 07 04 9E .ImV-2XX.EWv.... 360 : B5 72 D7 4F B3 B7 B6 D2 50 5B C4 42 48 41 25 01 .r.O....P[.BHA%. 370 : CF 2D 57 2D 74 FB 3B 7B 6D 25 05 BC 44 24 84 12 .-W-t.;{m%..D$.. 380 : 50 1C F2 D5 72 DA C2 CE 0B 7D 25 04 11 10 92 11 P...r....}%..... 390 : 92 80 E7 96 A8 A7 B7 B5 8F 5A 95 85 BC 38 D9 DD .........Z...8.. 3a0 : 06 3A FA 7E 15 14 F6 F6 B1 EB 52 B0 B7 87 1B 3B .:.~......R....; 3b0 : A0 C7 5F 4F C2 A1 9E DE DA 3D 6A 56 10 43 8D 9D .._O.....=jV.C.. 3c0 : D0 63 AF A5 30 C3 0B 10 A9 6F 19 C9 2D F7 05 30 .c..0....o..-..0 3d0 : C3 0B 10 A9 6F 19 C9 2D F7 05 30 C3 0B 10 A9 6F ....o..-..0....o 3e0 : 19 C9 2D F7 05 61 EB 91 E9 F6 96 B2 4B 28 8F 1C ..-..a......K(.. 3f0 : 06 F2 D3 76 06 7D BF CF 5E 6B 13 5B 8F 4F B5 B6 ...v.}..^k.[.O.. 400 : 79 25 11 E3 80 DB 17 76 07 5E DF E7 AF 35 89 AD y%.....v.^...5.. 410 : C7 A7 DA DA BC 92 88 F1 C0 6D 8B BB 03 F0 FF 00 .........m...... 420 : 3D 79 AA BE 19 B8 83 50 D5 63 68 B4 FC 5B 2A 9C =y.....P.ch..[*. 430 : 48 E8 39 38 AA 9E 1A 9E 1B FD 56 26 8B 4F C5 B2 H.98......V&.O.. 440 : A9 C4 8C 83 93 8A AD E1 8B 88 6F B5 58 DA 3D 3F ..........o.X.=? 450 : 16 CA A7 12 32 0E 4E 2B 7F 55 B6 81 18 1F B3 C4 ....2.N+U...... 460 : 30 3B 20 EF 9A DF D5 6D A0 42 0F D9 E2 18 1D 90 0; ....m.B...... 470 : 77 CD 6F 6A B6 F0 2B A9 16 F1 01 EC 83 BE 6B B5 w.oj..+.......k. 480 : B1 8D 27 B5 80 ED 04 F9 68 3A 7F B2 2B B5 B1 8D ..'.....h:.+... 490 : 27 B5 80 ED 04 F9 68 3A 7F B2 2B B5 B0 8D 27 B6 '.....h:.+...'. 4a0 : 80 ED 04 F9 68 3A 7F B2 2A 2B CB 44 0C 72 8B F9 ....h:.*+.D.r.. 4b0 : 54 37 96 88 18 E5 17 F2 A6 5E 5A 20 63 94 5F CA T7.......^Z c._. 4c0 : B1 F5 48 D5 74 6B A0 17 82 A4 FE 95 91 A9 C6 AB ..H.tk.......... 4d0 : A3 5D 00 BC 15 27 F4 AC 7D 56 35 5D 16 EC 05 E0 .]...'..}V5].... 4e0 : A9 3F A5 3A CC 06 86 C3 B7 EE DF F9 1A 75 98 0D .?.:.........u.. 4f0 : 0D 87 6F DD BF F2 34 96 60 34 36 1D BF 76 FF 00 ..o...4.`46..v.. 500 : C8 D2 C6 BF E8 96 5F EC CD E9 FE D9 A5 8D 7F D1 ......_........ 510 : 2C BF D9 9B D3 FD B3 4B 1A FF 00 A2 59 7F B3 37 ,......K....Y.7 520 : A7 FB 66 A8 DF BA 41 77 31 39 79 08 24 22 8E 70 ..f...Aw19y.$".p 530 : 3D EA 8D FB A4 17 73 13 97 90 82 42 28 E7 03 DE =.....s....B(... 540 : A8 DF BA 41 77 31 39 79 08 24 22 8E 70 3D EB 3F ...Aw19y.$".p=.? 550 : 4E BE 8F 58 B4 9A 4D B2 22 24 9B 3C BE 17 D0 F3 N..X..M."$.<.... 560 : D7 D6 B3 F4 .... 3.) 000 : 48 54 54 50 2F 31 2E 31 20 32 30 30 20 4F 4B 0D HTTP/1.1 200 OK. 010 : 0A 44 61 74 65 3A 20 57 65 64 2C 20 32 34 20 41 .Date: Wed, 24 A 020 : 75 67 20 32 30 30 35 20 31 33 3A 31 30 3A 31 38 ug 2005 13:10:18 030 : 20 47 4D 54 0D 0A 53 65 72 76 65 72 3A 20 41 70 GMT..Server: Ap 040 : 61 63 68 65 2F 32 2E 30 2E 34 36 20 28 52 65 64 ache/2.0.46 (Red 050 : 20 48 61 74 29 0D 0A 4C 61 73 74 2D 4D 6F 64 69 Hat)..Last-Modi 060 : 66 69 65 64 3A 20 46 72 69 2C 20 31 35 20 4F 63 fied: Fri, 15 Oc070 : 74 20 32 30 30 34 20 30 38 3A 35 36 3A 34 39 20 t 2004 08:56:49080 : 47 4D 54 0D 0A 45 54 61 67 3A 20 22 37 32 38 30 GMT..ETag: "7280 090 : 66 64 2D 61 64 34 2D 39 62 37 39 31 36 34 30 22 fd-ad4-9b791640" 0a0 : 0D 0A 41 63 63 65 70 74 2D 52 61 6E 67 65 73 3A ..Accept-Ranges: 0b0 : 20 62 79 74 65 73 0D 0A 43 6F 6E 74 65 6E 74 2D bytes..Content- 0c0 : 4C 65 6E 67 74 68 3A 20 32 37 37 32 0D 0A 43 6F Length: 2772..Co 0d0 : 6E 6E 65 63 74 69 6F 6E 3A 20 63 6C 6F 73 65 0D nnection: close. 0e0 : 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 69 .Content-Type: i 0f0 : 6D 61 67 65 2F 6A 70 65 67 0D 0A 0D 0A FF D8 FF mage/jpeg....... 100 : E0 00 10 4A 46 49 46 00 01 01 01 00 48 00 48 00 ...JFIF.....H.H. 110 : 00 FF E1 05 11 45 78 69 66 00 00 4D 4D 00 2A 00 .....Exif..MM.*. 120 : 00 00 08 00 05 01 1A 00 05 00 00 00 01 00 00 00 ................ 130 : 4A 01 1B 00 05 00 00 00 01 00 00 00 52 01 28 00 J...........R.(. 140 : 03 00 00 00 01 00 02 FF FF 02 13 00 03 00 00 00 ................ 150 : 01 00 01 FF FF 87 69 00 04 00 00 00 01 00 00 00 ......i......... 160 : B8 00 00 00 5A 00 00 00 48 00 00 00 01 00 00 00 ....Z...H....... 170 : 48 00 00 00 01 00 06 01 03 00 03 00 00 00 01 00 H............... 180 : 06 FF FF 01 1A 00 05 00 00 00 01 00 00 00 A8 01 ................ 190 : 1B 00 05 00 00 00 01 00 00 00 B0 01 28 00 03 00 ............(... 1a0 : 00 00 01 00 02 FF FF 02 01 00 04 00 00 00 01 00 ................ 1b0 : 00 01 06 02 02 00 04 00 00 00 01 00 00 04 03 00 ................ 1c0 : 00 00 00 00 00 00 48 00 00 00 01 00 00 00 48 00 ......H.......H. 1d0 : 00 00 01 00 06 90 00 00 07 00 00 00 04 30 32 31 .............021 1e0 : 30 91 01 00 07 00 00 00 04 01 02 03 00 A0 00 00 0............... 1f0 : 07 00 00 00 04 00 00 00 00 A0 01 00 03 00 00 00 ................ 200 : 01 00 01 FF FF A0 02 00 04 00 00 00 01 00 00 00 ................ 210 : A0 A0 03 00 04 00 00 00 01 00 00 00 78 00 00 00 ............x... 220 : 00 FF D8 FF DB 00 43 00 08 08 08 08 08 08 08 08 ......C......... 230 : 08 08 08 08 08 08 08 09 09 09 09 09 09 0A 0A 0A ................ 240 : 0B 0A 0A 0A 0C 0B 0B 0C 0C 0B 0B 0C 0D 0C 0E 0F ................ 250 : 0E 0C 0D 0E 0F 12 12 0F 0E 12 15 17 15 12 19 1C ................ 260 : 1C 19 24 24 24 33 33 3F FF DB 00 43 01 07 07 07 ..$$$33?...C.... 270 : 0A 08 0A 13 0A 0A 13 2A 1C 17 1C 2A 2A 2A 2A 2A .......*...***** 280 : 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A **************** 290 : 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A **************** 2a0 : 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A 2A FF C0 00 *************... 2b0 : 11 08 00 29 00 32 03 00 22 00 01 11 01 02 11 01 ...).2.."....... 2c0 : FF C4 00 1F 00 00 01 05 01 01 01 01 01 01 00 00 ................ 2d0 : 00 00 00 00 00 00 01 02 03 04 05 06 07 08 09 0A ................ 2e0 : 0B FF C4 00 B5 10 00 02 01 03 03 02 04 03 05 05 ................ 2f0 : 04 04 00 00 01 7D 01 02 03 00 04 11 05 12 21 31 .....}........!1 300 : 41 06 13 51 61 07 22 71 14 32 81 91 A1 08 23 42 A..Qa."q.2....#B 310 : B1 C1 15 52 D1 F0 24 33 62 72 82 09 0A 16 17 18 ...R..$3br...... 320 : 19 1A 25 26 27 28 29 2A 34 35 36 37 38 39 3A 43 ..%&'()*456789:C 330 : 44 45 46 47 48 49 4A 53 54 55 56 57 58 59 5A 63 DEFGHIJSTUVWXYZc 340 : 64 65 66 67 68 69 6A 73 74 75 76 77 78 79 7A 83 defghijstuvwxyz. 350 : 84 85 86 87 88 89 8A 92 93 94 95 96 97 98 99 9A ................ 360 : A2 A3 A4 A5 A6 A7 A8 A9 AA B2 B3 B4 B5 B6 B7 B8 ................ 370 : B9 BA C2 C3 C4 C5 C6 C7 C8 C9 CA D2 D3 D4 D5 D6 ................ 380 : D7 D8 D9 DA E1 E2 E3 E4 E5 E6 E7 E8 E9 EA F1 F2 ................ 390 : F3 F4 F5 F6 F7 F8 F9 FA FF DA 00 0C 03 00 00 01 ................ 3a0 : 00 02 00 00 3F 00 E7 BF B3 61 FE F3 FE 9F E1 55 ....?....a.....U 3b0 : EE 2D 12 DE 32 FB FA 74 18 1C D6 C6 6B 1F 52 26 .-..2..t....k.R& 3c0 : 47 86 05 EA CE B8 FF 00 79 8E 05 6C DC DA 41 1C G.......y..l..A. 3d0 : 65 B1 54 A2 9E 56 6C 66 B6 3C 3D A6 7D AD BC F9 e.T..Vlf.<=.}...3e0 : 86 EE 7E 51 E9 DE BD 48 68 51 7D 9F 98 A2 C3 20 ..~Q...HhQ}....3f0 : 18 20 67 9F EB 5C AE 8B FE 87 1A 05 48 64 0B 8C . g..\......Hd.. 400 : AF 9A A9 2B 60 E3 E5 0F B5 3D F9 71 5E 89 69 7F ...+`....=.q^.i 410 : 6B 7B 02 B4 12 F1 D1 94 F0 E8 40 E5 18 76 61 DE k{........@..va. 420 : B9 D2 BB DB 26 B5 C3 79 6B C5 79 37 89 74 51 66 ....&..yk.y7.tQf 430 : 56 78 93 E5 E3 78 51 F5 F4 FC AB 8B 12 C9 1B 13 Vx...xQ......... 440 : 14 8C 8D CA EE 56 20 E3 F0 AF 65 F1 04 F6 6D 14 .....V ...e...m. 450 : B1 BC F0 FC D9 18 2E 33 E9 9C 57 8C CD F2 4A CB .......3..W...J. 460 : 90 70 DD 7F 3A 92 23 9E 0D 47 38 19 DD 5A 9E 76 .p.:.#..G8..Z.v 470 : AD FF 00 3F 5F F8 F7 FF 00 5A 8F 3B 56 FF 00 9F ...?_....Z.;V... 480 : AF D7 FF 00 AD 50 2D D2 85 51 CF 00 0A 77 DA D3 .....P-..Q...w.. 490 : DF F2 AB 9E 55 BF AD 53 DD 27 A0 A7 7D A8 9F E1 ....U..S.'..}... 4a0 : FD 6A 38 F1 2E A1 67 BB BD CC 42 95 00 DB 55 91 .j8...g...B...U. 4b0 : BF D3 60 F4 FB 5C 07 FE F9 94 54 F7 4E CC 98 34 ..`..\....T.N..4 4c0 : D8 40 0D 5E 94 9E 1A 37 BF E9 11 31 C9 04 60 B1 .@.^...7...1..`. 4d0 : C2 EE 56 5C 8E 0E 38 3D AB 4E 38 FF 00 B2 6C 6E ..V\..8=.N8...ln 4e0 : 63 FB CE A9 E5 A9 04 FD FC ED EF CF 41 FC 54 B6 c...........A.T. 4f0 : 77 93 08 C4 08 DE 50 2A 37 BF FB 3E 83 DC D4 5A w.....P*7..>...Z 500 : 8B CA B6 6D 1F D9 BC E5 77 DD E6 89 0A 91 CF 46 ...m....w......F 510 : CE 7F 3E 6B 13 71 23 15 B4 91 8C EE AC 27 B1 D4 .>k.q#......'.. 520 : B0 B7 96 86 3F 35 D3 25 D9 37 B0 6F E2 C3 67 E5 ....?5.%.7.o..g. 530 : E3 8C 7E B5 C2 EA A2 E0 5D 16 BA 0A B3 1D A5 F1 ..~.....]....... 540 : ED FF 00 EA AF 5B 87 52 4F EC E5 8A 45 09 22 02 .....[.RO...E.". 550 : 33 FE CF 6F D2 BC 97 59 9B CF BE 93 D0 64 0F D7 3..o...Y.....d.. 560 : FC 6A 48 CF 35 04 AA 02 D5 1D F4 6F A8 F8 FF 00 .jH.5......o.... 570 : 22 8E 3F C8 AB 55 52 B5 59 FB AF 15 95 2E E2 5B ".?..UR.Y......[ 580 : 1C 36 EE 2A F8 AA 6F FE B4 FF 00 BD 52 CE E7 3B .6.*..o.....R..; 590 : 69 91 2F 19 AF 41 D3 A5 1A DE 9C 13 76 25 5F BD i./..A......v%_. 5a0 : C7 DD 95 57 A1 53 D4 7B 52 4B 6B A8 46 3C 98 D2 ...W.S.{RKk.F<.. 5b0 : EE 21 FE CD .!..
------------------------------------------------------- SF.Net email is Sponsored by the Better Software Conference & EXPO September 19-22, 2005 * San Francisco, CA * Development Lifecycle Practices Agile & Plan-Driven Development * Managing Projects & Teams * Testing & QA Security * Process Improvement & Measurement * http://www.sqe.com/bsce5sf _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- Snort Sig 4135 IE JPEG heap overflow problem Jonathan Scheidell (Aug 24)
- Re: Snort Sig 4135 IE JPEG heap overflow problem Alex Kirk (Aug 24)