Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2957 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intermittent WAF Crash

vangor
Hi.  One of my installations is a Sophos UTM Software appliance licensed for 100 IP addresses.  It was installed on 3/27/13, and it ran solid for a couple of months.  However, the WAF feature has crashed twice in June.

Here's the error in the log file on 6/4/13:
2013:06:04-23:00:23 chiefcollig reverseproxy: [Tue Jun 04 23:00:23.215270 2013] [core:notice] [pid 4981:tid 4151629504] AH00051: child pid 5650 exit signal Segmentation fault (11), possible coredump in /tmp

Here's the error in the log file on 6/26/13:
2013:06:26-19:19:07 chiefcollig reverseproxy: [Wed Jun 26 19:19:07.777886 2013] [core:notice] [pid 4930:tid 4151760576] AH00051: child pid 5692 exit signal Segmentation fault (11), possible coredump in /tmp

In both cases, I had to reboot the Sophos UTM appliance, and then the WAF starting running fine, again.  However, I'm paranoid that's it going hang up, again.

Has anyone else run into this issue?  Does anyone have any suggestions?

I'm a new Sophos UTM reseller.  I can open a support call with Sophos, but I figured that I would check in the forums, first.


Thanks!
Van


This thread was automatically locked due to age.
  • 0
    Hi, Van, and welcome to the User BB!

    This is definitely worth submitting a support request.

    Cheers - Bob
    PS Please always remember to state the exact version - like 9.006-5.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi, it could be running out of memory; check the Reporting-Hardware graphs for high RAM and/or SWAP usage.

    Barry
  • 0 in reply to BarryG
    Hi, it could be running out of memory; check the Reporting-Hardware graphs for high RAM and/or SWAP usage.

    Barry


    Hi,
    I can confirm the problem with WAF.
    I ran into exactly this issue today on a customers appliance. 
    UTM 425 (current hw revision) HA setup. 
    Firmware version is 9.102. 

    2013:07:09-08:04:15 Sophos-UTM1-1 reverseproxy: [Tue Jul 09 08:04:15.987698 2013] [core:notice] [pid 6391:tid 4147623616] AH00051: child pid 6900 exit signal Segmentation fault (11), possible coredump in /tmp
  • 0
    Hi Matthias,

    Did you check the memory usage?

    Are you running the UTM in 64-bit mode?

    Barry
  • 0
    I opened a case at sophos, so that they can take care of that.

    Just wanted to let all know, that the OP's issue is not once-in-a-lifetime thing, but also happening at other sites.
  • 0
    It was happening a lot more frequently than I realized.  In fact, it crashed a couple of hours after my initial post.

    Because I have customers that depend on e-commerce sites, and this was impacting their business, I didn't have time to dance with Sophos support.  I disabled WAF, and I setup some DNAT rules for now.

    The firmware on this unit was at 9.102-8, although I'll probably update it again, later today.

    No, it didn't appear to be a RAM problem.  I have 4 GB allocated to it, and it never went above 50% usage as best as I could tell.


    Thanks,
    Van
  • 0 in reply to vangor
    Same here.
    UTM 9.201-23 (Software). Memory usage ~30%, swap usage less than 5%.

    Error:
    [core:notice] [pid 24605:tid 4147435200] AH00051: child pid 24861 exit signal Segmentation fault (11), possible coredump in /tmp

    I can reproduce the error by uploading a file (
  • 0
    Hi ,

    In this case I suggest to open a support case.

    All my best
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0 in reply to gilipeled
    Hi.  I didn't realize that I had never updated this thread.

    Last September, I opened a ticket (#3979807) with Sophos Support.  They ended  up shelling into my problematic UTM, and they performed some sort of configuration tweak that fixed the problem.  They said that it was a bug, and that the bug would be fixed in an upcoming firmware update.  They told me to hold off on installing updates until they confirmed that the bug was fixed, otherwise the firmware upgrade would blast their custom configuration settings, and WAF would be back to crashing.

    Sophos Support verified that the bug was fixed in firmware version 9.107 via email on 2/10/14.

    I held off on upgrading the firmware until this OpenSSL flaw needed to be patched, so this past week I jumped from 9.105-9 to 9.111-7.  So far, so good.

    If the WAF crash starts occuring, again, I'll post back.

    See Ya!
    Van
Unfiltered HTML