<div dir="ltr">Guillaume,<div><br></div><div>While that rule could be modified to work on your system, the release date of CentOS 5.3 was April 2009 and your version of PCRE is from Feb 2006, which is a full nine years old.  This is an issue that is going to keep happening for you (in fact, I suspect that if you were to remove that rule, another rule would show itself as having a similar "parse error.").  I recommend updating your system to something modern, especially since it's a security device.</div><div><br></div><div><br></div><div>Thanks,</div><div><br></div><div>~Patrick</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 19, 2015 at 9:59 AM, Guillaume Daleux <span dir="ltr"><<a href="mailto:guillaume.daleux@...13827..." target="_blank">guillaume.daleux@...13827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-CA" link="blue" vlink="purple">
<div>
<p class="MsoNormal">Hello all,<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">I have an error with rule sid 33323.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><b>Error : </b><span lang="EN-US">failed at offset 3 : unrecognized character after (?<<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span lang="EN-US">Resolution :</span></b><span lang="EN-US"> Update PCRE version (it works with PCRE version 7.8)<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span lang="EN-US">Bug details (debugging PCRE):<u></u><u></u></span></b></p>
<p class="MsoNormal"><span lang="EN-US">[root@...17102... ~]# pcretest<u></u><u></u></span></p>
<p class="MsoNormal">PCRE version 6.6 06-Feb-2006<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">  re> "/(?<RS>\w+)\s?=\s?document\x2egetElementById\x28[\x22\x27]\w+[\x22\x27]\xx22\x27]\x29.*\k<RS>.DataSource\s?=\s?\k<OBJ>/smi"<u></u><u></u></p>
<p class="MsoNormal">Failed: unrecognized character after (?< at offset 4<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><b>Problem:</b> I’m running CentOS  5.3 and the latest official PCRE<span style="color:#1f497d">
</span>version presents in the repository is 6.6<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><b>Question:</b> Is there another way to write this rule and make it works without updating the PCRE version ?<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Regards,<span class="HOEnZb"><font color="#888888"><u></u><u></u></font></span></p><span class="HOEnZb"><font color="#888888">
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Guillaume DALEUX<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
</font></span></div>
</div>

<br>------------------------------------------------------------------------------<br>
Download BIRT iHub F-Type - The Free Enterprise-Grade BIRT Server<br>
from Actuate! Instantly Supercharge Your Business Reports and Dashboards<br>
with Interactivity, Sharing, Native Excel Exports, App Integration & more<br>
Get technology previously reserved for billion-dollar corporations, FREE<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=190641631&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=190641631&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Patrick Mullen<br>Response Research Manager<br>Sourcefire VRT</div>
</div>