<div dir="ltr">Unfortunately not.  I will try 3.0.1.<br><br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 28, 2016 at 4:19 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
> On 28 mars 2016, at 17:51, Hovsep Levi <<a href="mailto:hovsep.sanjay.levi@gmail.com">hovsep.sanjay.levi@gmail.com</a>> wrote:<br>
><br>
> Hello.<br>
><br>
> On Debian 8.3 both Suricata 2.0.11 and 3.0.0 segfault after some time, maybe a few hours.  I think a bug exists in a PCRE parser for an IRC signature.  This problem does not happen on Ubuntu.<br>
><br>
> What do you think ?<br>
><br>
<br>
</span>It can very well be related to pcre 8.35 -<br>
<br>
<a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/known_issues" rel="noreferrer" target="_blank">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/known_issues</a><br>
<br>
If you try to upgrade to the latest pcre (and/or recompile Suricata towards the latest pcre) - would it fix the issue?<br>
<br>
Thanks<br>
<div><div class="h5"><br>
<br>
> Thanks,<br>
><br>
> Hovsep<br>
><br>
><br>
> #0  0x00007f8e6ed784bb in ?? ()<br>
> #1  0x00007f8d7f530cca in ?? ()<br>
> #2  0x00007f8e6ed781a8 in ?? ()<br>
> #3  0x0000000000000001 in ?? ()<br>
> #4  0x0000000000000dac in ?? ()<br>
> #5  0x00007f8c811020be in ?? ()<br>
> #6  0x0000000000000dac in ?? ()<br>
> #7  0x00007f8c811020be in ?? ()<br>
> #8  0x00000000030c5fe7 in ?? ()<br>
> #9  0x00000000030c5fe6 in ?? ()<br>
> #10 0x00000000034d35e2 in ?? ()<br>
> #11 0x00000000030c5fe7 in ?? ()<br>
> #12 0x0000000000000001 in ?? ()<br>
> #13 0x000000000e3b5540 in ?? ()<br>
> #14 0x00000000030c5fe7 in ?? ()<br>
> #15 0x0000000000000338 in ?? ()<br>
> #16 0x0000000000000002 in ?? ()<br>
> #17 0x000000000e3b6a40 in ?? ()<br>
> #18 0x00007f8e720c78bf in ?? () from /lib/x86_64-linux-gnu/libpcre.so.3<br>
> #19 0x00007f8e720ed288 in ?? () from /lib/x86_64-linux-gnu/libpcre.so.3<br>
> #20 0x00007f8e720c63a9 in pcre_exec () from /lib/x86_64-linux-gnu/libpcre.so.3<br>
> #21 0x00000000004a19ee in DetectPcrePayloadMatch (det_ctx=0x7f8d6c08c0d0, s=<optimized out>, sm=<optimized out>, p=0x30c57f0, f=0x7f8d08d33f40,<br>
>     payload=0x30c5fe2 "_NICKNAME=<br>
><br>
><br>
><br>
>       linux-vdso.so.1 (0x00007fffa4a00000)<br>
>       libhtp-0.5.18.so.1 => /opt/suricata-2.0.11/lib/libhtp-0.5.18.so.1 (0x00007fa972000000)<br>
>       libGeoIP.so.1 => /usr/lib/x86_64-linux-gnu/libGeoIP.so.1 (0x00007fa971dd0000)<br>
>       libmagic.so.1 => /usr/lib/x86_64-linux-gnu/libmagic.so.1 (0x00007fa971bb0000)<br>
>       libcap-ng.so.0 => /usr/lib/x86_64-linux-gnu/libcap-ng.so.0 (0x00007fa9719a8000)<br>
>       libpcap.so.1 => /opt/pfring/lib/libpcap.so.1 (0x00007fa971710000)<br>
>       libpfring.so => /opt/pfring/lib/libpfring.so (0x00007fa9714b0000)<br>
>       libnet.so.1 => /usr/lib/x86_64-linux-gnu/libnet.so.1 (0x00007fa971290000)<br>
>       libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fa971070000)<br>
>       libyaml-0.so.2 => /usr/lib/x86_64-linux-gnu/libyaml-0.so.2 (0x00007fa970e50000)<br>
>       libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007fa970be0000)<br>
>       libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fa970830000)<br>
>       libz.so.1 => /lib/x86_64-linux-gnu/libz.so.1 (0x00007fa970610000)<br>
>       /lib64/ld-linux-x86-64.so.2 (0x00007fa972220000)<br>
>       librt.so.1 => /lib/x86_64-linux-gnu/librt.so.1 (0x00007fa970408000)<br>
><br>
><br>
><br>
> ii  libpcre-ocaml                    7.0.4-1                              amd64        OCaml bindings for PCRE (runtime)<br>
> ii  libpcre3:amd64                   2:8.35-3.3+deb8u2                    amd64        Perl 5 Compatible Regular Expression Library - runtime files<br>
> ii  libpcre3-dev:amd64               2:8.35-3.3+deb8u2                    amd64        Perl 5 Compatible Regular Expression Library - development files<br>
> ii  libpcrecpp0:amd64                2:8.35-3.3+deb8u2                    amd64        Perl 5 Compatible Regular Expression Library - C++ runtime files<br>
><br>
><br>
><br>
</div></div>> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Suricata User Conference November 9-11 in Washington, DC: <a href="http://oisfevents.net" rel="noreferrer" target="_blank">http://oisfevents.net</a><br>
</blockquote></div><br></div>