<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>I’ve seen this with rules for version 2.9.3.1.  The rule I’ve had trouble with is one you list, sid:25773.  The error message I get is as follows.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>FATAL ERROR: /etc/snort/rules/VRT-browser-ie.rules(120) : pcre compile of "var\s*?(?<m1>\w+)s*?=s*?document.createElement\s*?\([\x22\x27][\w]s*?[\x3a\x3b]\s*?shape[\x22\x27]\).*?(?P=m1)s*?.\s*?setAttribute\s*?\(\s*?[\x22\x27]\s*?path\s*?[\x22\x27]\s*?,\s*?[\x22\x27][^\x29]{506}.*?(?P=m1)\.s*?path" failed at offset 10 : unrecognized character after (?<<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Vern<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Robert Cotter [mailto:Robert.Cotter@...391...6102...] <br><b>Sent:</b> Monday, February 18, 2013 3:54 PM<br><b>To:</b> snort-users@lists.sourceforge.net<br><b>Subject:</b> [Snort-users] Recent changes to SNORT 2.9.4.0 rulesets regarding PCRE syntax.<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span lang=EN-NZ>I noticed that on/about 14<sup>th</sup> February that some rules were changed to now use some newer PCRE commands/syntax that can crash SNORT depending on your version of PCRE libraries installed.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ>The problem only appears to occur if you have enabled any of the following rules.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ>./rules/server-mail.rules: sid:16193<br>./rules/browser-ie.rules: sid:25773 <br>./rules/os-windows.rules: sid:13270<br>./rules/os-windows.rules: sid:18171<br>./rules/os-windows.rules: sid:13269<br>./rules/os-windows.rules: sid:13271<br>./rules/os-windows.rules: sid:15684<br>./rules/os-windows.rules: sid:13272<br>./rules/os-windows.rules: sid:18172<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ>This is the error message .<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ style='font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-NZ'>ERROR: /var/appliedwatch/agent/data/agent.1/var/snort/policy/etc/../rules/browser-ie.rules(47) : pcre compile of "var\s*?(?<m1>\w+)s*?=s*?document.createElement\s*?\([\x22\x27][\w]s*?[\x3a\x3b]\s*?shape[\x22\x27]\).*?(?P=m1)s*?.\s*?setAttribute\s*?\(\s*?[\x22\x27]\s*?path\s*?[\x22\x27]\s*?,\s*?[\x22\x27][^\x29]{506}.*?(?P=m1)\.s*?path" failed at offset 10 : unrecognized character after (?<</span><span lang=EN-NZ><o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ style='font-size:10.0pt;font-family:"Courier New";mso-fareast-language:EN-NZ'>Fatal Error, Quitting..</span><span lang=EN-NZ><o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ>It appears that the old method of having a ‘(?P<’ instead of the newer ‘(?<’ syntax has trigger the issue.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ>Anyone else seen this ?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ>There is no version dependency on the snort.org website <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ style='color:#1F497D'><a href="http://www.snort.org/start/requirements">http://www.snort.org/start/requirements</a><o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ>except a link to pcre.org which only has  a link to the latest version, being 8.32.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ>Anyone else been impacted by this?????<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ>What’s the minimum version of PCRE is required to support this syntax ? Best I can find is that support for this was in 5.005 which is a lot older than the version of PCRE I am currently running.<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ style='mso-fareast-language:EN-NZ'>Regards<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-NZ style='mso-fareast-language:EN-NZ'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:#444444;mso-fareast-language:EN-NZ'>-- <br><b>Robert Cotter</b><br><b>Sales Engineer APAC</b><br><br><a href="mailto:robert.cotter@...16102..."><span style='color:#444444'>robert.cotter@...16102... </span></a><br>DDI: +64 9 926 2931 Mob: +64 21 67 5550 <br>LinkedIn: <a href="http://nz.linkedin.com/pub/robert-cotter/4/3b/9a8"><span style='color:#444444'>Robert Cotter</span></a>; Skype: <a href="skype:endace.robert.cotter?add"><span style='color:#444444'>endace.robert.cotter</span></a> <br><br>Level 2, Building A<br>600 Great South Road<br>Ellerslie, Auckland 1051, New Zealand<br><br><a href="http://www.endace.com/"><span style='color:#444444'>www.endace.com</span></a>; <a href="http://www.linkedin.com/companies/endace"><span style='color:#444444'>LinkedIn</span></a>; follow us on <a href="http://twitter.com/endace"><span style='color:#444444'>Twitter</span></a><br></span><span lang=EN-NZ style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:EN-NZ'><br></span><span lang=EN-NZ style='font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FF8C24;mso-fareast-language:EN-NZ'>p</span><span lang=EN-NZ style='font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FE862C;mso-fareast-language:EN-NZ'>o</span><span lang=EN-NZ style='font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FD8A28;mso-fareast-language:EN-NZ'>w</span><span lang=EN-NZ style='font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FC8E26;mso-fareast-language:EN-NZ'>e</span><span lang=EN-NZ style='font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FB9323;mso-fareast-language:EN-NZ'>r</span><span lang=EN-NZ style='font-size:20.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:EN-NZ'> <span style='color:#FA9B1E'>t</span><span style='color:#F9A10B'>o</span> <span style='color:#F7A816'>s</span><span style='color:#F6AD13'>e</span><span style='color:#F6B111'>e</span> <span style='color:#F4BA0B'>a</span><span style='color:#F3BE09'>l</span><span style='color:#F2C704'>l</span> </span><span lang=EN-NZ style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:EN-NZ'><o:p></o:p></span></p><table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0 width=300 style='width:225.0pt'><tr><td style='padding:.75pt .75pt .75pt .75pt'><p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;text-align:justify'><span style='font-size:7.0pt;font-family:"Tahoma","sans-serif";color:#444444;mso-fareast-language:EN-NZ'><br>This email (including any attachments) is intended to be read by the named recipient(s) only. If the email wasn’t addressed to you, you mustn’t use, distribute or copy any part of it. If you’ve received it in error please delete it (along with any attachments) and inform us of the error. Emails aren’t secure and can’t be guaranteed to be error free as they can be intercepted, amended, lost or destroyed. It’s your responsibility to check this email and any attachments for viruses. These risks are deemed accepted by everyone that communicates with us by email. </span><span style='font-size:12.0pt;font-family:"Times New Roman","serif";mso-fareast-language:EN-NZ'><o:p></o:p></span></p></td></tr></table><p class=MsoNormal><span lang=EN-NZ style='mso-fareast-language:EN-NZ'><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-NZ><o:p> </o:p></span></p></div></body></html>