clamav bug

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

clamav bug

Beitrag von reox » 26.01.2018 16:25:30

Siehe hier: https://www.heise.de/security/meldung/J ... 51801.html und hier: https://security-tracker.debian.org/tra ... age/clamav

Wie haltet ihr das noch mit dem Scannen von Mails? den ClamAV besser gleich deinstallieren vom Mailserver?
Gibt ja ein paar Verfechter die meinen Virenscanner machen alles nur noch schlimmer :D Meine Statistik mit ClamAV: 12 Funde in einem Jahr - bei insgesamt ~5000 Mails in der Quarantäne. Wieviel dann sonst noch rejected wurden kann ich leider nicht mehr ermitteln.

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: clamav bug

Beitrag von mludwig » 26.01.2018 19:23:22

Viel "interessanter" war da schon der Bug, welcher zu zu vielen offenen Dateien führte --> too many open filedescriptors. War wohl durch ein Update der Signaturdatenbank ausgelöst und führte erstmal zu seltsamen Fehlern, die ich zunächst auf Dos-Attacken zurückführte - die Heisemeldung hatte ich da schon gelesen. In diesem Fall aber hat sich clamav selber unbrauchbar gemacht, andere Software auf dem gleichen Filesystem gleich mit ... zum glück liegen die Maildaten auf einem eigenen DRBD-Device, so dass die übrigen Maildienste weiterliefen.

Virenscanner sind meist das erste, was bei Kunden nachgefragt wird - ein Haken auf einer Liste, der eben nicht fehlen darf.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: clamav bug

Beitrag von breakthewall » 27.01.2018 00:24:15

Das Problem mit ClamAV ist wohl eher, dass dieses Antivirenprogramm nur von geringer Qualität ist. Denn die Erkennungsrate ist verglichen mit Konkurrenzprodukten außerordentlich niedrig. Wenn man dazu noch bedenkt, dass die anderen Antivirenprogramme in der Praxis vielfach versagen, insbesondere bei unbekannten Schädlingen, dann stellt das den Nutzen von ClamAV nochmals in Frage. Von daher lieber deinstallieren um nicht ggf. noch Schaden dadurch zu nehmen. Dann besser auf präventive Sicherheitsmaßnahmen zu setzen, wo es egal wird was eine E-Mail beinhaltet.

Und auch wenn gefordert wird Antivirenprogramme einzusetzen, so sollte man betreffenden klar machen, wie gering dieser Schutz ist, und wie gefährlich er werden kann.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: clamav bug

Beitrag von NAB » 27.01.2018 00:56:40

Wie dämlich wäre eigentlich der Gedanke, einen Windows-Virenscanner in einer VM über das Mail-Verzeichnis zu jagen? Das größte Problem dürfte darin liegen, die Treffer automatisiert zu verarbeiten.
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: clamav bug

Beitrag von rendegast » 27.01.2018 04:58:55

NAB hat geschrieben: Wie dämlich wäre eigentlich der Gedanke, einen Windows-Virenscanner in einer VM über das Mail-Verzeichnis zu jagen?
So einen zu benutzen ist eine brauchbare Sache.
Dem Windows-Programm selbst Zugriff auf den Mailstore zu erlauben ist nicht so klasse.

Jedoch bieten viele der (freeware) Scanner wohl die Möglichkeit, ihre Fähigkeit per TCP resp. als Proxy zu benutzen.
Diese Nutzung dürfte jedoch nicht von der Lizenz der freeware-Scannner abgedeckt sein.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: clamav bug

Beitrag von reox » 27.01.2018 11:08:34

Also es gibt kommerzielle Scanner für Linux von namenhaften Herstellern. Oft haben die dann ja auch die selben Signaturdatenbanken wie für Windows - da die ja oft auch speziell für den Einsatz auf Mailservern konzipiert sind.

Einen Virenscanner nur wegen Compliance zu installieren ist halt auch eher Mist. Aber die Banken verlangen das ja zT laut AGB das die Rechner mit Antivirenschutz ausgestattet sein müssen.
Aber wie man sieht findet der ClamAV ja wirkich was, allerdings sind in der Zeit auch ein paar Mails durchgekommen die einen Anhang hatten der infiziert war. Auf virustotal haben den dann zumindest 1 oder 2 Scanner gefunden. Also wirklich besser sind die dann im Ernstfall eh auch nicht...

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: clamav bug

Beitrag von reox » 29.01.2018 07:56:28

Kann mir jemand erklären was im security tracker das hier heißen soll:
[stretch] - clamav <no-dsa> (clamav is updated via -updates)
[jessie] - clamav <no-dsa> (clamav is updated via -updates)
https://security-tracker.debian.org/tra ... 2017-12376
Was bedeutet da "is updated via -updates"?

Benutzeravatar
smutbert
Moderator
Beiträge: 8313
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: clamav bug

Beitrag von smutbert » 29.01.2018 09:47:21

Damit sind imho stretch-updates und jessie-updates gemeint.

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: clamav bug

Beitrag von reox » 29.01.2018 10:50:47

ok, nur komisch das die updates dort noch nicht drin sind... So wie ich das verstehe sind sie gestern nacht zwar erstellt worden aber noch nicht in verteilung.
Im heise forum hat auch jemand gefragt warum das diesmal so lange dauert. Auch spannend, dass zuerst wheezy gepatched wurde und dann erst jessie und stretch. Ist das eine normale strategie?

Benutzeravatar
smutbert
Moderator
Beiträge: 8313
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: clamav bug

Beitrag von smutbert » 29.01.2018 17:04:02

zum Teil vermute ich, dass das normal ist.

Soweit ich das sehe ist das Update gestern in die proposed-updates von stretch und jessie gekommen. (ich glaube die Pakete müssen die proposed-updates durchlaufen bevor sie es in die ...-updates schaffen!?)
Bei wheezy kommt der Upload dagegen von jemand anderem. Vermutlich kümmern sich nicht (immer/nur) die üblichen Entwickler um den LTS-Support, aber jedenfalls ist das auch gestern passiert, nur halt zufällig etwas früher.

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: clamav bug

Beitrag von reox » 08.02.2018 14:00:27

okay, jetzt versteh ich das erst. Im bugtracker wird darüber auch diskutiert und es kam dann die Antwort, dass clamav bei security updates auch andere updates mit dazunimmt, die man nicht unbedingt auch haben will. Daher werden clamav security updates nicht über das security repo eingespielt sondern über stable-updates. Bei wheezy ist das anders, da es kein stable-updates mehr gibt.
Da es die security updates also noch nicht in das security repo oder das main repo geschafft haben, ist der bug quasi noch nicht gefixed, aber die updates bekommt man darüber...

Antworten