<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle17
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-NZ" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D">I suspect based on recent emails from VRT support that we will be seeing an announcement from VRT sometime soon on the solution to this issue as it relates to the version of the PCRE library being used on the
 platform.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<p class="MsoNormal"><span style="color:#1F497D">Regards<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:#444444">--
<br>
<b>Robert Cotter</b><br>
<b>Sales Engineer APAC</b><br>
<br>
<a href="mailto:robert.cotter@...16102..."><span style="color:#444444">robert.cotter@...16102...
</span></a><br>
DDI: +64 9 926 2931 Mob: +64 21 67 5550 <br>
LinkedIn: <a href="http://nz.linkedin.com/pub/robert-cotter/4/3b/9a8"><span style="color:#444444">Robert Cotter</span></a>; Skype:
<a href="skype:endace.robert.cotter?add"><span style="color:#444444">endace.robert.cotter</span></a>
<br>
<br>
Level 2, Building A<br>
600 Great South Road<br>
Ellerslie, Auckland 1051, New Zealand<br>
<br>
</span><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:#444444"><a href="http://www.endace.com/"><span style="color:#444444">www.endace.com</span></a>;
<a href="http://www.linkedin.com/companies/endace"><span style="color:#444444">LinkedIn</span></a>; follow us on
<a href="http://twitter.com/endace"><span style="color:#444444">Twitter</span></a></span><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:#444444"><br>
</span><span style="font-size:12.0pt;font-family:"Times New Roman","serif";color:#1F497D"><br>
</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FF8C24">p</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FE862C">o</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FD8A28">w</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FC8E26">e</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FB9323">r</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#1F497D">
</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FA9B1E">t</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#F9A10B">o</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#1F497D">
</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#F7A816">s</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#F6AD13">e</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#F6B111">e</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#1F497D">
</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#F4BA0B">a</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#F3BE09">l</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#F2C704">l</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#1F497D">
</span><span style="font-size:12.0pt;font-family:"Times New Roman","serif";color:#1F497D"><o:p></o:p></span></p>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="300" style="width:225.0pt">
<tbody>
<tr>
<td style="padding:.75pt .75pt .75pt .75pt">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;text-align:justify">
<span style="font-size:7.0pt;font-family:"Tahoma","sans-serif";color:#444444"><br>
This email (including any attachments) is intended to be read by the named recipient(s) only. If the email wasn’t addressed to you, you mustn’t use, distribute or copy any part of it. If you’ve received it in error please delete it (along with any attachments)
 and inform us of the error. Emails aren’t secure and can’t be guaranteed to be error free as they can be intercepted, amended, lost or destroyed. It’s your responsibility to check this email and any attachments for viruses. These risks are deemed accepted
 by everyone that communicates with us by email. </span><span style="font-size:12.0pt;font-family:"Times New Roman","serif";color:#1F497D"><o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
</div>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Stark, Vernon L. [mailto:Vernon.Stark@...383...]
<br>
<b>Sent:</b> Thursday, 21 February 2013 3:52 a.m.<br>
<b>To:</b> snort-users@lists.sourceforge.net<br>
<b>Cc:</b> Robert Cotter<br>
<b>Subject:</b> FW: [Snort-users] Recent changes to SNORT 2.9.4.0 rulesets regarding PCRE syntax.<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">I’ve seen this with rules for version 2.9.3.1.  The rule I’ve had trouble with is one you list, sid:25773.  The error message I get is as follows.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">FATAL ERROR: /etc/snort/rules/VRT-browser-ie.rules(120) : pcre compile of "var\s*?(?<m1>\w+)s*?=s*?document.createElement\s*?\([\x22\x27][\w]s*?[\x3a\x3b]\s*?shape[\x22\x27]\).*?(?P=m1)s*?.\s*?setAttribute\s*?\(\s*?[\x22\x27]\s*?path\s*?[\x22\x27]\s*?,\s*?[\x22\x27][^\x29]{506}.*?(?P=m1)\.s*?path"
 failed at offset 10 : unrecognized character after (?<<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Vern<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Robert Cotter [<a href="mailto:Robert.Cotter@...16104...02...">mailto:Robert.Cotter@...16102...</a>]
<br>
<b>Sent:</b> Monday, February 18, 2013 3:54 PM<br>
<b>To:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> [Snort-users] Recent changes to SNORT 2.9.4.0 rulesets regarding PCRE syntax.<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal">I noticed that on/about 14<sup>th</sup> February that some rules were changed to now use some newer PCRE commands/syntax that can crash SNORT depending on your version of PCRE libraries installed.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">The problem only appears to occur if you have enabled any of the following rules.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">./rules/server-mail.rules: sid:16193<br>
./rules/browser-ie.rules: sid:25773 <br>
./rules/os-windows.rules: sid:13270<br>
./rules/os-windows.rules: sid:18171<br>
./rules/os-windows.rules: sid:13269<br>
./rules/os-windows.rules: sid:13271<br>
./rules/os-windows.rules: sid:15684<br>
./rules/os-windows.rules: sid:13272<br>
./rules/os-windows.rules: sid:18172<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">This is the error message .<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">ERROR: /var/appliedwatch/agent/data/agent.1/var/snort/policy/etc/../rules/browser-ie.rules(47) : pcre compile of "var\s*?(?<m1>\w+)s*?=s*?document.createElement\s*?\([\x22\x27][\w]s*?[\x3a\x3b]\s*?shape[\x22\x27]\).*?(?P=m1)s*?.\s*?setAttribute\s*?\(\s*?[\x22\x27]\s*?path\s*?[\x22\x27]\s*?,\s*?[\x22\x27][^\x29]{506}.*?(?P=m1)\.s*?path"
 failed at offset 10 : unrecognized character after (?<</span><o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">Fatal Error, Quitting..</span><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">It appears that the old method of having a ‘(?P<’ instead of the newer ‘(?<’ syntax has trigger the issue.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Anyone else seen this ?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">There is no version dependency on the snort.org website <o:p>
</o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"><a href="http://www.snort.org/start/requirements">http://www.snort.org/start/requirements</a><o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">except a link to pcre.org which only has  a link to the latest version, being 8.32.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Anyone else been impacted by this?????<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">What’s the minimum version of PCRE is required to support this syntax ? Best I can find is that support for this was in 5.005 which is a lot older than the version of PCRE I am currently running.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Regards<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif";color:#444444">--
<br>
<b>Robert Cotter</b><br>
<b>Sales Engineer APAC</b><br>
<br>
<a href="mailto:robert.cotter@...16102..."><span style="color:#444444">robert.cotter@...16102...
</span></a><br>
DDI: +64 9 926 2931 Mob: +64 21 67 5550 <br>
LinkedIn: <a href="http://nz.linkedin.com/pub/robert-cotter/4/3b/9a8"><span style="color:#444444">Robert Cotter</span></a>; Skype:
<a href="skype:endace.robert.cotter?add"><span style="color:#444444">endace.robert.cotter</span></a>
<br>
<br>
Level 2, Building A<br>
600 Great South Road<br>
Ellerslie, Auckland 1051, New Zealand<br>
<br>
<a href="http://www.endace.com/"><span style="color:#444444">www.endace.com</span></a>;
<a href="http://www.linkedin.com/companies/endace"><span style="color:#444444">LinkedIn</span></a>; follow us on
<a href="http://twitter.com/endace"><span style="color:#444444">Twitter</span></a><br>
</span><span style="font-size:12.0pt;font-family:"Times New Roman","serif""><br>
</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FF8C24">p</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FE862C">o</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FD8A28">w</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FC8E26">e</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif";color:#FB9323">r</span><span style="font-size:20.0pt;font-family:"Tahoma","sans-serif"">
<span style="color:#FA9B1E">t</span><span style="color:#F9A10B">o</span> <span style="color:#F7A816">
s</span><span style="color:#F6AD13">e</span><span style="color:#F6B111">e</span> <span style="color:#F4BA0B">
a</span><span style="color:#F3BE09">l</span><span style="color:#F2C704">l</span> </span>
<span style="font-size:12.0pt;font-family:"Times New Roman","serif""><o:p></o:p></span></p>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="300" style="width:225.0pt">
<tbody>
<tr>
<td style="padding:.75pt .75pt .75pt .75pt">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;text-align:justify">
<span style="font-size:7.0pt;font-family:"Tahoma","sans-serif";color:#444444"><br>
This email (including any attachments) is intended to be read by the named recipient(s) only. If the email wasn’t addressed to you, you mustn’t use, distribute or copy any part of it. If you’ve received it in error please delete it (along with any attachments)
 and inform us of the error. Emails aren’t secure and can’t be guaranteed to be error free as they can be intercepted, amended, lost or destroyed. It’s your responsibility to check this email and any attachments for viruses. These risks are deemed accepted
 by everyone that communicates with us by email. </span><span style="font-size:12.0pt;font-family:"Times New Roman","serif""><o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>