debianforum.de

Siehe hier: https://www.heise.de/security/meldung/J ... 51801.html und hier: https://security-tracker.debian.org/tra ... age/clamav

Wie haltet ihr das noch mit dem Scannen von Mails? den ClamAV besser gleich deinstallieren vom Mailserver?
Gibt ja ein paar Verfechter die meinen Virenscanner machen alles nur noch schlimmer Meine Statistik mit ClamAV: 12 Funde in einem Jahr - bei insgesamt ~5000 Mails in der Quarantäne. Wieviel dann sonst noch rejected wurden kann ich leider nicht mehr ermitteln.

Viel "interessanter" war da schon der Bug, welcher zu zu vielen offenen Dateien führte --> too many open filedescriptors. War wohl durch ein Update der Signaturdatenbank ausgelöst und führte erstmal zu seltsamen Fehlern, die ich zunächst auf Dos-Attacken zurückführte - die Heisemeldung hatte ich da schon gelesen. In diesem Fall aber hat sich clamav selber unbrauchbar gemacht, andere Software auf dem gleichen Filesystem gleich mit ... zum glück liegen die Maildaten auf einem eigenen DRBD-Device, so dass die übrigen Maildienste weiterliefen.

Virenscanner sind meist das erste, was bei Kunden nachgefragt wird - ein Haken auf einer Liste, der eben nicht fehlen darf.

Das Problem mit ClamAV ist wohl eher, dass dieses Antivirenprogramm nur von geringer Qualität ist. Denn die Erkennungsrate ist verglichen mit Konkurrenzprodukten außerordentlich niedrig. Wenn man dazu noch bedenkt, dass die anderen Antivirenprogramme in der Praxis vielfach versagen, insbesondere bei unbekannten Schädlingen, dann stellt das den Nutzen von ClamAV nochmals in Frage. Von daher lieber deinstallieren um nicht ggf. noch Schaden dadurch zu nehmen. Dann besser auf präventive Sicherheitsmaßnahmen zu setzen, wo es egal wird was eine E-Mail beinhaltet.

Und auch wenn gefordert wird Antivirenprogramme einzusetzen, so sollte man betreffenden klar machen, wie gering dieser Schutz ist, und wie gefährlich er werden kann.

Wie dämlich wäre eigentlich der Gedanke, einen Windows-Virenscanner in einer VM über das Mail-Verzeichnis zu jagen? Das größte Problem dürfte darin liegen, die Treffer automatisiert zu verarbeiten.

NAB hat geschrieben: Wie dämlich wäre eigentlich der Gedanke, einen Windows-Virenscanner in einer VM über das Mail-Verzeichnis zu jagen?

So einen zu benutzen ist eine brauchbare Sache.
Dem Windows-Programm selbst Zugriff auf den Mailstore zu erlauben ist nicht so klasse.

Jedoch bieten viele der (freeware) Scanner wohl die Möglichkeit, ihre Fähigkeit per TCP resp. als Proxy zu benutzen.
Diese Nutzung dürfte jedoch nicht von der Lizenz der freeware-Scannner abgedeckt sein.

Also es gibt kommerzielle Scanner für Linux von namenhaften Herstellern. Oft haben die dann ja auch die selben Signaturdatenbanken wie für Windows - da die ja oft auch speziell für den Einsatz auf Mailservern konzipiert sind.

Einen Virenscanner nur wegen Compliance zu installieren ist halt auch eher Mist. Aber die Banken verlangen das ja zT laut AGB das die Rechner mit Antivirenschutz ausgestattet sein müssen.
Aber wie man sieht findet der ClamAV ja wirkich was, allerdings sind in der Zeit auch ein paar Mails durchgekommen die einen Anhang hatten der infiziert war. Auf virustotal haben den dann zumindest 1 oder 2 Scanner gefunden. Also wirklich besser sind die dann im Ernstfall eh auch nicht...

Kann mir jemand erklären was im security tracker das hier heißen soll:

[stretch] - clamav <no-dsa> (clamav is updated via -updates)
[jessie] - clamav <no-dsa> (clamav is updated via -updates)

https://security-tracker.debian.org/tra ... 2017-12376
Was bedeutet da "is updated via -updates"?

Damit sind imho stretch-updates und jessie-updates gemeint.

ok, nur komisch das die updates dort noch nicht drin sind... So wie ich das verstehe sind sie gestern nacht zwar erstellt worden aber noch nicht in verteilung.
Im heise forum hat auch jemand gefragt warum das diesmal so lange dauert. Auch spannend, dass zuerst wheezy gepatched wurde und dann erst jessie und stretch. Ist das eine normale strategie?

zum Teil vermute ich, dass das normal ist.

Soweit ich das sehe ist das Update gestern in die proposed-updates von stretch und jessie gekommen. (ich glaube die Pakete müssen die proposed-updates durchlaufen bevor sie es in die ...-updates schaffen!?)
Bei wheezy kommt der Upload dagegen von jemand anderem. Vermutlich kümmern sich nicht (immer/nur) die üblichen Entwickler um den LTS-Support, aber jedenfalls ist das auch gestern passiert, nur halt zufällig etwas früher.

okay, jetzt versteh ich das erst. Im bugtracker wird darüber auch diskutiert und es kam dann die Antwort, dass clamav bei security updates auch andere updates mit dazunimmt, die man nicht unbedingt auch haben will. Daher werden clamav security updates nicht über das security repo eingespielt sondern über stable-updates. Bei wheezy ist das anders, da es kein stable-updates mehr gibt.
Da es die security updates also noch nicht in das security repo oder das main repo geschafft haben, ist der bug quasi noch nicht gefixed, aber die updates bekommt man darüber...