<div dir="ltr"><div>Hi.</div><div><br></div><div>Thanks for testing the new RC and for reporting this!</div><div><br></div><div>This bug is probably related to the TLS 1.3 support that was added in 4.1rc2. I think I've found the bug, but<br></div><div>it would be useful to confirm that I'm right.</div><div><br></div><div>Any chance that you could reproduce the error, capture a PCAP file, and send it to me in an email off</div><div>list? That would really help :)</div><div><br></div><div>Thanks again!</div><div><br></div><div>Kind regards,</div><div><br></div><div>Mats Klepsland<br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Thu, Oct 18, 2018 at 6:29 PM F.Tremblay <<a href="mailto:fcourrier@gmail.com">fcourrier@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hello,</div><div><br></div><div>From RC1 to RC2 the JA3 Hashing changed. Take a simple Firefox and the JA3 Hash from RC1 to RC2 changed while the application havent. Very easy to reproduce.</div><div><br></div><div>So its either Suricata doesnt extrack the info from the strings like the Salesforce method, or the TLS engine manipulate the JAE-strings, like a proxy or a simple bug where not all the strings are taken into account.</div><div><br></div><div>Protocol havent changed, still TLS 1.2 (771)<br></div><div><br></div><div>Cheers.</div><div><br></div><div>F.<br></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Oct 16, 2018 at 7:49 AM Victor Julien <<a href="mailto:victor@inliniac.net" target="_blank">victor@inliniac.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Suricata 4.1rc2 is ready for testing. We're hoping that this will be the<br>
final release candidate so that 4.1 can be released just before Suricon<br>
next month.<br>
<br>
Main new features are inclusion of the protocols SMBv1/2/3, NFSv4,<br>
Kerberos,FTP, DHCP, IKEv2, as well as improvements on Linux capture side<br>
via AF_PACKET XDP support and on Windows IPS side via WinDivert. The<br>
growth of Rust usage inside Suricata continues as most of the new<br>
protocols have been implemented in Rust.<br>
<br>
Most important change for going from RC1 to RC2 is that we have enabled<br>
Rust support by default. If Rust is installed, it will be used.<br>
<br>
Get the release here:<br>
<a href="https://www.openinfosecfoundation.org/download/suricata-4.1.0-rc2.tar.gz" rel="noreferrer" target="_blank">https://www.openinfosecfoundation.org/download/suricata-4.1.0-rc2.tar.gz</a><br>
<br>
<br>
*Protocol updates*<br>
<br>
SMBv1/2/3 parsing, logging, file extraction<br>
TLS 1.3 parsing and logging (Mats Klepsland)<br>
JA3 TLS client fingerprinting (Mats Klepsland)<br>
TFTP: basic logging (Pascal Delalande and ClĂ©ment Galland)<br>
FTP: file extraction<br>
Kerberos parser and logger (Pierre Chifflier)<br>
IKEv2 parser and logger (Pierre Chifflier)<br>
DHCP parser and logger<br>
Flow tracking for ICMPv4<br>
Initial NFS4 support<br>
HTTP: handle sessions that only have a response, or start with a response<br>
HTTP Flash file decompression support (Giuseppe Longo)<br>
<br>
<br>
*Output and logging*<br>
<br>
File extraction v2: deduplication; hash-based naming; json metadata and<br>
cleanup tooling<br>
Eve metadata: from rules (metadata keyword) and traffic (flowbits etc)<br>
Eve: new more compact DNS record format (Giuseppe Longo)<br>
Pcap directory mode: process all pcaps in a directory (Danny Browning)<br>
Compressed PCAP logging (Max Fillinger)<br>
Expanded XFF support (Maurizio Abba)<br>
Community Flow Id support (common ID between Suricata and Bro/Zeek)<br>
<br>
<br>
*Packet Capture*<br>
<br>
AF_PACKET XDP and eBPF support for high speed packet capture<br>
Windows IPS: WinDivert support (Jacob Masen-Smith)<br>
<br>
<br>
*Misc*<br>
<br>
Windows: MinGW is now supported<br>
Detect: transformation keyword support<br>
Bundled Suricata-Update<br>
Per device multi-tenancy<br>
<br>
<br>
*Major changes since 4.1rc1*<br>
<br>
Rust support is enabled by default<br>
Community Flow Id support (common ID between Suricata and Bro/Zeek)<br>
Updates and fixes for dealing with SegmentSmack/FragmentSmack<br>
Update Suricata-Update to 1.0.0rc2<br>
<br>
<br>
*Get paid to work on Suricata!*<br>
<br>
Enjoying the testing? Or want to help out with other parts of the project?<br>
We are looking for people, so reach out to us if you're interested.<br>
<br>
<br>
*Special thanks*<br>
<br>
Mats Klepsland, Jason Taylor, Maurizio Abba, Konstantin Klinger,<br>
Giuseppe Longo, Danny Browning, Hilko Bengen, Jacob Masen-Smith, Pascal<br>
Delalande, Travis Green, Christian Kreibich<br>
<br>
<br>
*Trainings*<br>
<br>
Check out the latest training offerings at<br>
<a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a><br>
<br>
<br>
*SuriCon*<br>
<br>
SuriCon 2018 Vancouver next month, you can still join!<br>
<a href="https://suricon.net/agenda-vancouver/" rel="noreferrer" target="_blank">https://suricon.net/agenda-vancouver/</a><br>
<br>
<br>
*About Suricata*<br>
<br>
Suricata is a high performance Network Threat Detection, IDS, IPS and<br>
Network Security Monitoring engine. Open Source and owned by a community<br>
run non-profit foundation, the Open Information Security Foundation<br>
(OISF). Suricata is developed by the OISF, its supporting vendors and<br>
the community.<br>
<br>
-- <br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" rel="noreferrer" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" rel="noreferrer" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div>