17 de Abril, 2010

Lo que ha pasado con Clamav

Este pasado viernes tuvimos un problema con una instancia de Zimbra, porque aparentemente no se entregaban correos (pero sí se recibían).

Tras investigar un poco me encontré con que Clamav estaba parado, lo que evitaba que Postfix hiciera la entrega local, y en los logs habían avisos de que la base de datos de firmas (imagino que de donde se toma la información para detectar malware) estaba corrupta.

Me pareció raro, pero bueno... por si acaso usé manualmente su herramienta para descargar las firmas, pero no era esa la solución: seguía diciendo que la base de datos estaba corrupta, aunque aparentemente estaba descargando bien.

Al final llegué a la conclusión de que era cosa de que la versión que lleva nuestro Zimbra era vieja, y pasé a actualizar a la última. No es algo trivial, porque Clamav está instalado dentro de Zimbra e integrado de cierta forma; pero con algo de cuidado se puede hacer bien (sobretodo hay que estar atentos a los cambios en los ficheros de configuración de una versión a otra).

Por comentarios de amiguetes, ya sabía que era algo general, pero leyendo en Barrapunto (Clamav "desactiva" todas las versiones anteriores a la 0.95), resulta que sí que avisaron:

On 15 April 2010 all ClamAV installations older than 0.95 will be disabled. See http://www.clamav.net/eol-clamav-094/ for more details.

No salgo de mi asombro: ¿deshabilitan? ¿desactivan?

En la página que nos recomiendan visitar, explican:

All ClamAV releases older than 0.95 are affected by a bug in freshclam which prevents incremental updates from working with signatures longer than 980 bytes. [...]

Starting from 15 April 2010 our CVD will contain a special signature which disables all clamd installations older than 0.95 – that is to say older than 1 year.

This move is needed to push more people to upgrade to 0.95.

Es decir, hay un bug conocido y no pueden seguir dando soporte a las instalaciones viejas, pero lo que me parece grave es que publican una firma que especialmente deshabilita las instalaciones más viejas de la versión 0.95.

Lo que había entendido por mi experiencia del viernes, y la pinta de error, es que: correcto, la versión de Clamav es vieja y es responsabilidad del integrador, no de upstream, y hay que actualizar.

Pero lo que están diciendo desde upstream es: hemos introducido intencionadamente una firma que hace fallar a las instalaciones viejas para forzar a los usuarios a actualizar :o.

Se me ocurren varias formas de haber tratado el problema sin llevar a cabo este movimiento, que ha conllevado pérdida de servicio para muchos usuarios; y no sé si están a cubierto legalmente (no consigo encontrar bajo que condiciones ofrecen las actualizaciones de firmas), pero lo que está claro es que han dañado bastante su credibilidad.

El mercado de los productos de seguridad es bastante complejo, porque se presta mucho a engaño por parte de los fabricantes; pero es que además en el mundo del Software Libre no hay muchas opciones si queremos disponer de antivirus perimetral para correo (para usuarios de Microsoft Windows, se entiende).

En fin, vaya cagada :(.

Anotación por Juan J. Martínez, clasificada en: security, software libre, clamav.

Hay 6 comentarios

Gravatar

Por que no creo que fuese tan dificil hacer que el mensaje de "base de datos corrupta" fuese "hey, tienes clamav del año de la polca, o lo actualizas o no funciona".

A mi me peto un server de correo exactamente por lo mismo, y estuve un buen rato hasta que me dio por upgradear clamav, y encima desde sources,por que esa maquina esta desactualizadisima y no hay upgrades en los paquetes sin tener que hacer una actualizacion masiva del sistema (lo cual no puede hacerse por otros motivos...)

En definitiva... god save the sources!

por Wu, en 2010-04-17 23:22:15

Gravatar

No sé si ese mensaje que propones hubiera funcionado, pero sigo pensando que es preferible que el antivirus no actualice que romperlo y parar el servicio de correo.

En nuestro caso con Zimbra fue similar, había que meter el nuevo Clamav desde fuentes sí o sí, porque está integrado dentro y no va por gestor de paquetes (y de actualizar el Zimbra entero ni hablamos, miedo me da pensarlo :P).

por Juanjo, en 2010-04-18 08:37:54

Gravatar

Hay la siguiente nota: http://www.clamav.net/lang/en/2009/10/05/eol-clamav-094/ (End Of Live ClamAV 0.94) desde el 5 de octubre. El problema reside en que debido a un bug de freshclam no se permitían actualizaciones con firmas más grandes de 980 bytes, por lo que lo de putear a todos los que tienen versiones viejas de ClamAV ha sido "para una buena causa" y en ningún caso para forzar a la actualización sonó para permitir añadir firmas más complejas que no se podían añadir por un bug.

por Jordi Prats, en 2010-04-18 17:02:08

Gravatar

Ese enlace lo he puesto ya en la anotación y he citado la parte en la que dicen dos cosas: que van a meter una firma que deshabilita todas las instalaciones de Clamav con versión anterior a la 0.95 y que esa acción es necesaria para forzar a la gente a actualizar.

Que no lo digo yo, lo dice el anuncio de la gente de Clamav :)

Evidentemente no lo hacen por capricho, hay unos motivos detrás (el bug del tamaño de las firmas, que freshclam no hacía actualizaciones incrementales), lo que sea. Lo que se critica aquí es que decidieran romper el servicio como solución.

por Juanjo, en 2010-04-18 17:20:27

Gravatar

AUn tengo ese rollo en mi servidor, cuando compilo me da rollos con el make check y otras vergassss, si todo estaba bien porq joder a los demássss........!

por un visitante, en 2010-04-19 17:06:09

Gravatar

Lo que me refiero es que no les quedaba otra opción que romper el servicio al tratarse de un bug en las versiones anteriores que les retenía ciertas firmas.

Es una putada, pero tampoco le veo otra opción que no sea crear "otro repositorio" para las versiones 0.95, por lo que las 0.94 no se romperían sino que no se actualizarían más.

Nada es perfecto en esta vida, sino que todo es como se valora lo que es "mejor" y "peor". En este caso creo que simplemente han optado por la que da más visibilidad a la necesidad de actualizar. (y con esto no quiero decir que no haya sido una putada)

por Jordi Prats, en 2010-04-20 12:45:47

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.

Algunas anotaciones relacionadas: