<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
Looks like we are pulling a file from a <i>different</i> place.  (Not saying itís right or wrong, weíll figure that out)
<div><br>
</div>
<div>Thanks for bringing that to our attention.</div>
<div><br>
</div>
<div><br>
<div>
<div>On Feb 6, 2014, at 10:42 AM, Starner, Mark <<a href="mailto:mark.starner@...5850...">mark.starner@...5850...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<blockquote type="cite">
<div lang="EN-US" link="blue" vlink="purple" style="font-family: HelveticaNeue; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<div class="WordSection1" style="page: WordSection1;">
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
When I upgraded some of my sensors to 2.9.6.0, I saw some weird stuff in my Base Signature Table<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
I two different sig_nameís for the same signatures (in about 6 case). Iíll detail one instance.<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Gid: 142, sid: 6<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
One Description is: pop: 7bit/8bit/binary/text Extraction failed<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
The other Description is: pop: Non-Encoded MIME attachment Extraction failed<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
So I looked at the gen-msg.map on the various systems/versions.<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
2.9.5.5 shipped with:  142 || 6 || pop: Non-Encoded MIME attachment Extraction failed<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
2.9.6.0 shipped with:  142 || 6 || pop: Non-Encoded MIME attachment Extraction failed<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Thatís fine, no change between versions.<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
But when I look in the rules tarballs, the following are in those gen-msg.map files<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
2.9.5.5 tarball: 142 || 6 || pop: 7bit/8bit/binary/text Extraction failed<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
2.9.6.0 tarball: 142 || 6 || pop: 7bit/8bit/binary/text Extraction failed<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
So the tarball is shipping with different descriptions for some of the preprocessor rules.<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
So which description is correct? I would have thought if the description was:<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; text-indent: 0.5in;">
pop: Non-Encoded MIME attachment Extraction failed<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
in 2.9.5.5, and then it changed to:<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; text-indent: 0.5in;">
pop: 7bit/8bit/binary/text Extraction failed<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
and was therefore changed in the tarball, then shouldnít 2.9.6.0ís release have reflected this change?<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Or are the files in the tarball never pulled forward to a new release?<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Just want to make sure I know which description is the right oneÖ I am guessing the one in the tarball, just need confirmation.<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Thanks<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
Mark<o:p></o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="98%" style="width: 727px;">
<tbody>
<tr>
<td colspan="2" style="border-style: solid none none; border-top-color: rgb(157, 146, 130); border-top-width: 1pt; padding: 0in;">
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
 <span style="font-size: 12pt;"><o:p></o:p></span></div>
</td>
</tr>
<tr>
<td valign="top" style="padding: 3.75pt 0in 0in;">
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="100%" style="width: 602px;">
<tbody>
<tr>
<td style="padding: 0in;">
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<b><span style="font-size: 10pt; font-family: Arial, sans-serif; color: rgb(59, 59, 59);">Mark Starner</span></b><span style="color: rgb(59, 59, 59);"> <span class="Apple-converted-space"> </span></span><span style="font-size: 10pt; font-family: Arial, sans-serif; color: rgb(59, 59, 59);">| </span><span style="font-size: 10pt; font-family: Arial, sans-serif;">Global
 Infrastructure - Systems</span><span style=""> </span><span style="color: rgb(59, 59, 59);"> </span><span style="font-size: 10pt; font-family: Arial, sans-serif; color: rgb(59, 59, 59);">|  Unisys IT</span><span style="font-size: 12pt;"><o:p></o:p></span></div>
</td>
</tr>
<tr>
<td style="padding: 3.75pt 0in 0in;">
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 7.5pt; font-family: Arial, sans-serif; color: rgb(59, 59, 59);">Unisys</span><span style="color: rgb(59, 59, 59);"> <span class="Apple-converted-space"> </span></span><span style="font-size: 7.5pt; font-family: Arial, sans-serif; color: rgb(59, 59, 59);">| 
 443-921-0355</span><span style="font-size: 12pt;"><o:p></o:p></span></div>
</td>
</tr>
</tbody>
</table>
</td>
<td valign="top" style="padding: 0in;">
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; text-align: right;">
<img width="125" height="56" id="_x0000_i1025" src="file:///C:/Users/starneml/AppData/Roaming/Microsoft/Signatures/Required_Images/Unisys_Logo.gif"><span style="font-size: 12pt;"><o:p></o:p></span></div>
</td>
</tr>
<tr>
<td style="padding: 0in;">
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<span style="font-size: 7.5pt; font-family: Arial, sans-serif; color: rgb(157, 146, 130);"><br>
THIS COMMUNICATION MAY CONTAIN CONFIDENTIAL AND/OR OTHERWISE PROPRIETARY MATERIAL and is thus for use only by the intended recipient. If you received this in error, please contact the sender and delete the e-mail and its attachments from all computers.</span><span style="font-size: 12pt;"><o:p></o:p></span></div>
</td>
<td style="padding: 0in;"></td>
</tr>
</tbody>
</table>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">
<o:p> </o:p></div>
</div>
------------------------------------------------------------------------------<br>
Managing the Performance of Cloud-Based Applications<br>
Take advantage of what the Cloud has to offer - Avoid Common Pitfalls.<br>
Read the Whitepaper.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=121051231&iu=/4140/ostg.clktrk_______________________________________________" style="color: purple; text-decoration: underline;">http://pubads.g.doubleclick.net/gampad/clk?id=121051231&iu=/4140/ostg.clktrk_______________________________________________</a><br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" style="color: purple; text-decoration: underline;">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" style="color: purple; text-decoration: underline;">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" style="color: purple; text-decoration: underline;">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit<span class="Apple-converted-space"> </span><a href="http://blog.snort.org/" style="color: purple; text-decoration: underline;">http://blog.snort.org</a><span class="Apple-converted-space"> </span>to stay current on all the latest Snort news!</div>
</blockquote>
</div>
<br>
</div>
</body>
</html>