Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 37 replies
  • Subscribers 0 subscribers
  • Views 9406 views
  • Users 0 members are here
Options
Suggested

[8.930][BUG] snort Segfault

wingman
Hi All

I got a kernel segfault with 8.930  

2012:04:14-22:15:09 **** kernel: [186834.365915] snort_inline[16586]: segfault at 413dbf52 ip 00000000f6e10fba sp 00000000ffc40be0 error 4 in web-client.so[f6e07000+14000]


During that time snort also restarted 

2012:04:14-10:44:30 ********* snort[16586]: S5: Pruned session from cache that was using 1098944 bytes (closed normally). 192.168.2.5 50721 --> 85.115.22.9 80 (0) : LWstate 0x9 LWFlags 0x60e007

2012:04:14-22:16:05 ********* snort[26454]: Enabling inline operation

2012:04:14-22:16:05 ********* snort[26454]: Running in IDS mode

2012:04:14-22:16:05 ********* snort[26454]: 

2012:04:14-22:16:05 ********* snort[26454]:         --== Initializing Snort ==--


2012:04:14-22:15:25 ********* selfmonng[3541]: I check Failed increment snort_inline_running counter 1 - 3

2012:04:14-22:15:45 ********* selfmonng[3541]: I check Failed increment snort_inline_running counter 2 - 3

2012:04:14-22:16:05 ********* selfmonng[3541]: W check Failed increment snort_inline_running counter 3 - 3

2012:04:14-22:16:05 ********* selfmonng[3541]: Snort not running - restarted

2012:04:14-22:16:05 ********* selfmonng[3541]: W NOTIFYEVENT Name=snort_inline_running Level=INFO Id=115 sent

2012:04:14-22:16:05 ********* selfmonng[3541]: W triggerAction: 'cmd'

2012:04:14-22:16:05 ********* selfmonng[3541]: W actionCmd(+):  '/var/mdw/scripts/snort restart'

2012:04:14-22:16:26 ********* selfmonng[3541]: W child returned status: exit='0' signal='0'


Thanks
Parents Reply Children
  • 0 in reply to FrancWest
    Hi all,

    I haven't had issues with snort until today at 6:44 AM eastern time. 

    2012:06:05-06:44:01 utm kernel: [371477.135968] snort_inline[5815]: segfault at 0 ip 00000000080b745d sp 00000000e5c3e290 error 4 in snort[8048000+159000]



    loginuser@utm:/home/login > rpm -qa | egrep 'ipsbundle'

    u2d-ipsbundle-9-44

    What time did the update go out?  Was this caused by the update?

    Paul
  • 0 in reply to PaulHolt
    Hi,

    looks like the current update causes the segfault again. I didn't have any segfaults for at least 3 weeks until today.

    Franc.
  • 0 in reply to FrancWest
    Hi all,

    there are two different segfaults that have occured. 


    [LIST=1]
    • The initial one with the error in one of the binary rule web-client.so. This is tracked in Mantis #20981 and should be solved with the upcoming pattern update (u2d-ipsbundle-9-46).

    • The second one which is triggered when updating the patterns. This is tracked by Mantis #21691 and is still under investigation.
    [/LIST]


    we're planning to release the new pattern update sometime today. So please make sure you keep track of any upcoming segfaults and report back here.

    As of now we'll track this thread with Mantis ID #21691.

    Cheers,
    Cristof
Unfiltered HTML