Hi Peter,<br>What platform are you using? maybe I can try reproducing the issue.<br><br><div class="gmail_quote">On Wed, Jun 20, 2012 at 2:05 PM, Peter Bates <span dir="ltr"><<a href="mailto:peter.bates@ucl.ac.uk" target="_blank">peter.bates@ucl.ac.uk</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
<br>
Hello all<br>
<br>
I'm seeing segfaults after a while with Suricata from git.<br>
<br>
[4904] 20/6/2012 -- 12:36:48 - (suricata.c:1169) <Info> (main) -- This<br>
is Suricata version 1.3dev (rev 988c92f)<br>
<br>
[4904] 20/6/2012 -- 12:36:53 - (tm-threads.c:1858) <Info><br>
(TmThreadWaitOnThreadInit) -- all 13 packet processing threads, 3<br>
management threads initialized, engine started.<br>
<br>
Program received signal SIGSEGV, Segmentation fault.<br>
[Switching to Thread 0xb2affb70 (LWP 4918)]<br>
DetectEngineBufferHttpHeaders (det_ctx=0xb17012e0, f=<value optimized<br>
out>,<br>
    htp_state=0x20fae950, flags=4 '\004') at detect-engine-hhd.c:139<br>
139                 size_t size2 = bstr_size(h->value);<br>
Missing separate debuginfos, use: debuginfo-install<br>
file-libs-5.04-17.fc14.i686 glibc-2.13-2.i686<br>
libcap-ng-0.6.5-1.fc14.i686 libgcc-4.5.1-4.fc14.i686<br>
libnet-1.1.5-1.fc14.i686 libnl-1.1-14.fc14.i686<br>
libyaml-0.1.3-2.fc13.i686 pcre-8.10-2.fc14.i686 zlib-1.2.5-2.fc14.i686<br>
<br>
(gdb) bt<br>
#0  DetectEngineBufferHttpHeaders (det_ctx=0xb17012e0,<br>
    f=<value optimized out>, htp_state=0x20fae950, flags=4 '\004')<br>
    at detect-engine-hhd.c:139<br>
#1  0x0809bb0f in DetectEngineRunHttpHeaderMpm (det_ctx=0xb17012e0,<br>
    f=0xa2e256e8, htp_state=0x20fae950, flags=10 '\n')<br>
    at detect-engine-hhd.c:187<br>
#2  0x08076cd8 in DetectMpmPrefilter (th_v=0x9beeee8, de_ctx=0x9068bd8,<br>
    det_ctx=0xb17012e0, p=0x8d30120) at detect.c:1222<br>
#3  SigMatchSignatures (th_v=0x9beeee8, de_ctx=0x9068bd8,<br>
det_ctx=0xb17012e0,<br>
    p=0x8d30120) at detect.c:1468<br>
#4  0x08076fbf in Detect (tv=0x9beeee8, p=0x8d30120, data=0xb17012e0,<br>
    pq=0x99d1288, postpq=0x0) at detect.c:1841<br>
#5  0x0813f8b4 in TmThreadsSlotVarRun (tv=0x9beeee8, p=0x8d30120,<br>
    slot=0x9aa98d8) at tm-threads.c:479<br>
#6  0x08141ce6 in TmThreadsSlotVar (td=0x9beeee8) at tm-threads.c:689<br>
#7  0x005efe99 in start_thread () from /lib/libpthread.so.0<br>
#8  0x00509d2e in clone () from /lib/libc.so.6<br>
<br>
This is with PF_RING, and I first thought it was the result of messing<br>
about with BPF filters but I've since commented them out (of<br>
suricata.yaml).<br>
<br>
- --<br>
Peter Bates<br>
Senior Computer Security Officer    Phone: +44(0)2076792049<br>
Information Services Division       Internal Ext: 32049<br>
University College London<br>
London WC1E 6BT<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
Comment: Using GnuPG with Mozilla - <a href="http://enigmail.mozdev.org/" target="_blank">http://enigmail.mozdev.org/</a><br>
<br>
iQEcBAEBAgAGBQJP4bycAAoJELhVoVpEMS6RO/0H/AtD0HB+EYlDNhcmd2NUKAJr<br>
VqW8baT6YrClHxJUmAvUdSOgjZVs99yRizRuLiM2P0IfwAAKKgJXqS5eXNJ2qoGC<br>
RHhMinJ1vw902BYFbpoGZiYi/9iFcgslravME/BnJUR5CB++e8Htvi3o2wtKL4rD<br>
LY8UmUkTpxcnpxXYKq3oKWb/2dDcBSYhI4h5ZVzOzN/RIaYgOVX01zn7wyRRJypx<br>
JcRbYNSjnYg3FVUjf3yRC8iz/eQ7r2wr2pyGlEzeVLvKgm6buISBTUn1H3/SkAOf<br>
/Qgkl9kfaKsfigAumFoUfEi17LwkrTAM74otahEXdoWuHuLvtneHLVIo28WzvxY=<br>
=hQ8c<br>
-----END PGP SIGNATURE-----<br>
<br>
_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
</blockquote></div><br><br clear="all"><br>-- <br><div>Regards,</div>
<div>Peter Manev</div><br>