Es kam gestern doch sehr überraschend in den Medien, daß ClamAV ein Rudel Schwachstellen hat und auf keinem normalen Weg wurde darüber informiert. Es gab weder eine Meldung über die CERTs, noch auf der Redhat Security Mailingliste. Die Schwachstelle ist so gravierend, daß auf unserer Serverfarm sämtliche ClamAVds bis zum Patch deaktiviert wurden.
Abhilfe schaffen
Derzeit gibt es in de Repos noch keine gepatchte Version, obwohl Sie bereits zur Verfügung steht. Wer den Early-Alpha-Beta-Test mitmachen will, der findet die Pakete für Fedora hier : https://koji.fedoraproject.org/
Folgende Pakete solltet Ihr dann downloaden:
clamav
clamav-data
clamav-filesystem
clamav-lib
clamav-server
clamav-update
installiert wird das dann mit „rpm -Uv /pfad/zu/den/rpms/clam*rpm„. Fertig.
Hallo Marius,
das wäre für mich spätestens der Punkt, an dem ich zu einem anderen Produkt wechseln würde!
Privat ist das noch was anderes aber nicht auf Servern.
Warum setzt ihr überhaupt ClamAV ein der ja nun bekanntermaßen keine guten Erkennungsraten hat?
grüße vom it-frosch
So wie zu Kaspersky ?
https://www.heise.de/security/meldung/Vom-Jaeger-zum-Gejagten-Kaspersky-Virenscanner-laesst-sich-leicht-austricksen-2824437.html
Oder zu Norton und Symantec ?
https://www.heise.de/security/meldung/Kritische-Luecke-gefaehrdet-Antiviren-Produkte-von-Symantec-und-Norton-3208967.html
Oder noch so eine „Alternative“ ?
https://www.heise.de/security/meldung/Von-wegen-Schutz-NOD32-erlaubt-das-Kapern-von-Rechnern-2728967.html
Und das ist nur die Spitze vom Eisberg. Jede Antivirensoftware ist in erster Linie Software und damit können und werden Fehler da drin sein. Der Umgang damit ist viel wichtiger. Bei Closesourceprodukten wird man nie wissen wie dicht man an einer Apokalypse vorbeigeschrammt ist.
Die Erkennungsrate eines Virenscanners hängt in erster Linie davon ab, wann/ob ein Virus zur Begutachtung beim Hersteller eintrifft. Das kann am Tag des Virusreleases sein, daß kann erst 3 Monate später passieren oder nie. Es gibt keine Garantie, daß ein Virus von einem Produkt erkannt wird, und Virustotal beweist das jeden Tag aufs neue. Die Erkennungsrate ist also stark vom Zufall abhängig, nur wird Dir das kein Verkäufer erzählen. Zufall ist auch, ob Du als Nutzer den Virus auch jemals zu sehen bekommst.
Ich sehe das so: Bug kommuniziert, Maßnahmen empfohlen, Bug beseitigt, Problem gelöst.
Das einzige was verbesserungswürdig an der Aktion wäre gewesen, die Distros direkt mit der Info zu versorgen, so daß die direkt die neue Version hätten schippen können. Ich fand unsere Reaktionszeit von 10 Stunden bis zum eingespielten Patch eigentlich super.