clamd stirbt reihenweise...

Patrick Ben Koetter p at sys4.de
Fr Jan 26 16:50:30 CET 2018


* Peer Heinlein <postfixbuch-users at listen.jpberlin.de>:
> Für die, die es interessiert:
> 
> Wir sehen gerade, daß bei uns und Kundenmachinen der clamd reihenweise
> nach dem Update neuer signaturen stirbt und die Mailgates ins Verderben
> reißt.
> 
> Wer Streß hat oder Streß vermeiden sollte könnte das ja kontrollieren
> wollen.
> 
> Workaround: freshclam manuell ausführen und ggf. gleich per Hand wieder
> neu starten...

Unsere Monitorings hatten so gegen ~3:30 heute Nacht von ersten Problemen
berichtet. Je nach Nutzungsgrad der Maschinen/Plattformen wurde es dann ab 7
Uhr kritisch.

Wir haben heute vormittag alle Kundenmaschinen auf 0.99.3 gehoben *und* die
Pattern von vor ~3:30 heute Nacht über das Backup installiert. Freshclam ist
temporär disabled, bis wir auf ausgewählten Maschinen nachweisen können, dass
die neuen Pattern problemlos laufen.

Gut waren und sind die dran, die zusätzliche Scannerprodukte (z.B. Avira,
Sophos, avast) in Produktion haben, denn die nehmen ClamAV temporär aus der
Produktion, sind somit erst einmal den Angriffsvektor "buffer overflow" los
*und* können trotzdem AV-Schutz aufrecht erhalten.

Der Vorfall zeigt IMO auf, dass *ein* Open Source AV Scanner eben *ein* POF
(SPOF) ist. Ich vermute aber, es wird keinen Zweiten geben, der der Welt jetzt
einen zweiten Scanner unter OSS-Lizenz schenken wird.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste Postfixbuch-users