Notícia publicada por brain em junho 16, 2004 09:45 PM
| TrackBack
"Para quem usa o McAfee UVScan com o amavis, ou outro mailscanner, fique atento: a atualização do DAT número 4367 parece estar congelando o uvscan, fazendo com que o consumo de processamento chegue a paralizar o serviço de e-mail. Esse ultimato de atualização do engine, pode significar algo." A contribuição vem de Alexandre Arruda Paes (alepaes@ad2.com.br), acompanhada deste link para maiores detalhes.
Eu testemunhei durante a tarde de hoje a interrupção de entregas de mensagens em um servidor de e-mail devido a esta falha do uvscan. Se você é cliente deste software e foi afetado pela falha, corra para a atualização ou o suporte técnico!
Valeu , vou ficar monitorando . Essa atualização saiu dia 14 e por sorte minha não ocorreu nada de anormal.
Bem alguem poderia disponiblizar um script do clamav para atualização automatica .Tenho isso para
UvScan.
Ótima oportunidade de testar outras alternativas como o CLAMAV http://www.clamav.org
Tenho ótimas experiências com ele e não deixa nada a desejar, basta cada um contribuir com o que for de sua alçada.
Abraços
Esse Clamav funciona como?
Ele tem sua própria base de vírus, ou usa a de outro programa?
Se usar a própria, ela é atualizada regularmente?
ps.: clamav.org parece ser um site porno :)
(interessante, de qualquer maneira)
Sorry, http://www.clamav.net
Ele tem uma base atualizada via submissões via web. Nas últimas vezes que ví comparativo entre o tempo da descoberta do vírus e a inserção da assinatura no DB, o clamav tem sempre ficado entre os primeiros.
PS. Sempre que eu ví antes até que o UVSCAN.
Abraços
Aconteceu comigo, travou mesmo. Tive q reiniciar o servidor pq travou mesmo...
O erro ocorre devido à atualização q deve ser feita do engine. Basta atualizar o engine p/ a versão corrente e o problema desaparece.
Eu utilizei durante um bom tempo o uvscan como antivirus do servidor de e-mail by amavis 0.21
Resolvi então testar a funcionalidade do clamav e adaptei o script do amavis para rodar primeiramente com o clamav e depois com o uvscan e percebi que os vírus eram primeiro detectados pelo clamav e depois de algum tempo, até mesmo dias, o uvscan estava atualizado ( os dois com procura de atualização pelo menos 4 veze ao dia)
Passei a então ter com clamav como antivirus primário e caso não encontre nada ai utiliza o uvscan.
Verifiquei que apenas um vírus estava passando pelo clamav, e tentei captura-lo o submetê-lo mais ainda não consegui.
eu troquei a dupla amavis+uvscan pelo clamav e até
agora tudo normal e ainda ganhei muito em performance.
Olá pessoal,
Apenas fazendo uma ressalva, segundo a área de atualização da própria McAfee e até mesmo diretamente no FTP dela ainda não saiu um novo DAT ou uma correção para linux, tal atualização até o momento só tem para windows.
E segundo a bugtraq da securityfocus, os respectivos produtos abaixos também foram afetados,
Mcafee VirusScan 6
Network Associates (McAfee) VirusScan Enterprise 7.1
E até o momento não está literalmente confirmado mais ao que me parece as versões do :
F-Prot 4.4.2 for Linux
Panda Antivirus
Também estão com os mesmos problemas.
Um cordial abraço a todos,
Rodrigo Lima - a.k.a rlima
Qual a versao do engine que trava ?
#uvscan --version
Virus Scan for Linux v4.32.0
Copyright (c) 1992-2003 Networks Associates Technology Inc. All rights reserved.
Seria esta ?
Uso o uvsacan com o qmail-scanner
Minhas versões são estas:
- Virus Scan for Linux v4.14.0
- Scan engine v4.3.20 for Linux.
- Virus data file v4367 created Jun 16 2004
Até o momento não tive problemas. Já tentei buscar atualizações do engine e parece que já estou com a última disponível.
Sera que preciso mesmo fazer a atualização?
Olá RSM,
Fique atento junto a fila de mensagens do servidor se as mensagens ficarem literalmente paradas é porque provávelmente o uvscan travou.
A correção em si imagino que nas próximas 24/48 hrs a McAfee esteja disponibilizando tal DAT com a correção.
Um cordial abraço,
Rodrigo Lima - a.k.a rlima
Pessoal, não estou entendendo nada..
Uma coisa é versão do "engine" outra coisa é a versão do "uvscan" e outra é a versão do "vírus database"
O que está com problemas é versão do Engine ou do Uvscan? Ou é uma determinada versão do engine em uma determinada versão do uvscan que trava?
As minhas versões (postei mais acima) do jeito que estão não estão com problema algum (pelo menos até o momento)
O meu travou com a versão 4.16 do uvscan e 4367 do DAT. Quando atualizei para a versão 4.32 funcionou direito. Essa versão é mais fácil pegar pelo o superdownloads.
O meu problema comecou hoje qdo atualizei o dat...
tenho um script q executa todo dia... foi soh atualizar e deu pau em tudo... a maquina tah mais lenta q um 386...
Ae, tb tenho essa versao do uvscan a 4.16, aonde eu acho essa versao 4.32, nao consegui encontrar no superdownloads nem no site da nai
Me desculpem, mas a notícia não está clara...
E não encontrei na internet nenhum relato a respeito deste problema.
Onde mesmo está confirmardo este problema com o uvscan???
O "ultimato" no site da NAI que foi passada na notícia não fala de nenhum bug ou falha que venha a ocorrer com a atualização para o DAT 4367.
Não sou boa em ingles, mas me parece ser apenas um "ultimato" falando que se vc for cliente de certos produtos NAI, nas versões 3 ou 4, poderá obter gratuitamente atualizações do produto até 16/jun e depois desta data as atualizações nao serao mais gratuitas... seria isso?
Me desculpem a ignorancia, mas a notícia não está clara...
E não encontrei na internet nenhum relato a respeito deste problema.
Onde mesmo está confirmardo este problema com o uvscan???
O "ultimato" no site da NAI que foi passada na notícia não fala de nenhum bug ou falha que venha a ocorrer com a atualização para o DAT 4367.
Não sou boa em ingles, mas me parece ser apenas um "ultimato" falando que se vc for cliente de certos produtos NAI, nas versões 3 ou 4, poderá obter gratuitamente atualizações do produto até 16/jun e depois desta data as atualizações nao serao mais gratuitas... seria isso?
Bem pessoal, apenas para documentar. Esse bug, quando se utiliza o Uvscan+Mailscanner, rejeita a mensagem devido 'a time-out (o processo do uvscan fica "preso", pelo que percebi e retorna a mensagem erroneamente como um ataque de negação de serviço.
Adivinhem se agora eu não coloco o Clamav da vida para rodar....rs...
Abraços.....
RSM, qual a parte que não está clara? Ali está dito que o update do DAT 4367 pode levar a travamentos do uvscan, não foi isso que você entendeu?
Eu também não encontrei nenhuma outra confirmação na internet, mas observei a ocorrência do problema conforme descrito. Outras pessoas observaram também e postaram aqui nos comentários. O ultimato da NAI foi linkado junto porque pode ter relação.
Pessoal,
Link para o 4.32 do uvscan
http://download.nai.com/products/evaluation/virusscan/english/cmdline/linux/v4.32/intel/vlnx432e.tar.Z
RSM: "O "ultimato" no site da NAI que foi passada na notícia não fala de nenhum bug ou falha que venha a ocorrer com a atualização para o DAT 4367."
Realmente não fala, mas é muito estranho que o dia final para a atualização coincida com o DAT que paralizou o uvscan.
Olá pessoal,
Para quem quiser acompanhar desde o ínicio as threads referente aos problemas no qual afeta algumas versões de anti-vírus a mesma pode ser vista apartir do link a seguir, na qual tal problema foi discutido na lista de BugTraq da SecurityFocus desde a descoberta desse problema.
http://www.securityfocus.com/archive/1/366188/2004-06-14/2004-06-20/1
Um cordial abraço a todos,
Rodrigo Lima - a.k.a rlima
Utilizo o mailscanner com uvscan. Atualizou no dia 16/06 para o dat 4367 e até agora não travou nada e também não teve aumento de performace.
Saliento que o meu engine estsa atualizado para o 4.3.20 desde o seu lançamento em 07/12/2003. A versão do meu virusscan é 4.24.00
É estremamente recomendavel atualizar o engine. antes de atualizar o dat. Sem falar é claro no uvscan.
lembrem-se que deixar o antivirus sem atualização é o mesmo que não ter antivirus.
Boa sorte a todos
Vários de nossos clientes também tiveram este problema, voltar o dat antigo não resolveu, foi perdido um filesystem, desconfiamos que decorrido do bug.
solução : desabilitar o uvscan até correção
Augusto: "RSM, qual a parte que não está clara? Ali está dito que o update do DAT 4367 pode levar a travamentos do uvscan, não foi isso que você entendeu?"
Eu entendi que realmente há um problema e não estou duvidando disso.
Só não consegui entender exatamente onde, pois meu uvscan está com DAT 4367 e não houve nenhum travamento e outras pessoas também relataram aqui que não tiveram nenhum problema com este DAT.
No entanto, outros colegas aqui relataram problemas de travamento.
Talvez este problema pode estar sendo causado por um combinado de engine+certa versão_de_dat e/ou engine+certa_versao_do_antivirus. Se for, qual a combinação?
A NAI deveria deveria especificar mais claramente onde e quando o problema ocorre e onde está a correção.
Na época que eu dava consultoria, quebrei *muito* a cara com esta combinação de MTA+anti-virus.
A solução que melhor me atendeu por ser bem leve e simples para outras pessoas assumirem depois, além de muito eficiente na caça ao vírus foi postfix+clamav mas sem incluir o Amavis. Tem como fazer o clamav funcionar com o postfix (e acredito outros) diretamente. Infleismente não tenho a URL aqui mas me lembro que aqui no site mesmo saiu algo sobre o assunto.
Isso e o freshclam, claro :)
Rodrigo Lima,
Excelente este esclarecimento que voce postou no site da BugTraq da SecurityFocus.
Parece que outros anti-virus também estão com este problema.
Fiz um teste aqui com aquele arquivo que está no site da ButTraq (SRVdown.zip) e aqui travou agora também.
Só não havia travado antes talvez pq não recebi nenhum anexo com este tipo de código até então.
Mas se estes começarem a sugir, com certeza aí terei sérios problemas...
Aqui também deu pau.
Detalhe: ele abriu uns 1000 processos do uvscan até comer 100% da cpu.
Fui verificar um de meus servidores que ainda esta com amavis+uvscan e não tive problemas com ele ainda.
getmail:~# uvscan --version
Virus Scan for Linux v4.32.0
Scan engine v4.3.20 for Linux.
Virus data file v4367 created Jun 16 2004
Scanning for 92006 viruses, trojans and variants.
Pessoal, eu testei várias dobradinhas e a q considerei melhor foi a Inflex+Uvscan. O problema está no engine 4.1.60 (e anteriores). A versão 4.3.20 está preparada p/ receber o DAT-4367.
Clientes McAfee foram informados sobre o life-time do engine 4.1.60, q expirou hj dia 16/junho/2004. Eu, por exemplo, atualizei as estações e esqueci de atualizar o servidor... O pacote já estava na mão, foi falha humana mesmo :)
A mcafee vacilou nessa. Não só o DAT pra linux que saiu com bugado o do de ruindows tb...
Nossa, que salada...
O link http://download.mcafee.com/updates/notice/?cid=10242 não fala sobre nenhum problema sobre o uvscan. É apenas um alerta para usuários de versões antigas do MacFee atualizarem gratuitamente seus produtos até 16/7. E isto só é válido para os cliente em território dos Estados Unidos.
A notícia http://www.securityfocus.com/archive/1/366188/2004-06-14/2004-06-20/1
DIz ser sobre ataques de negação de serviço (Dos), mas descreve um bug em alguns antivírus e no windows XP, que *talvez* esteja relacionada com o problema do título desta notícia.
O que eu pude verificar até agora, é que dats novos com engines antigos do uvscan são problemáticos. E isto não é novidade, pois já aconteceu pelo menos uma vez há uns dois anos.
Basta manter o engine atualizado, assim como o dat. Em três máquinas em que rodo este serviço, nenhum problema foi detectado, mas o script de atualização atualiza tanto o dat quanto o engine.
Ñ foi falha da McAfee, os clientes foram avisados por email certo tempo antes, bastaria instalar o engine mais novo e o problema ñ aconteceria.
>>Clientes McAfee foram informados sobre o life-time do engine 4.1.60, q expirou hj dia 16/junho/2004.
É verdade Victor, eu havia recebido este aviso também. Mas meu sistema já estava atualizado há algum tempo... :-)
Repasso abaixo e texto que recebi ao 12:44 de uma empresa de suporte mcafee
Realmente existe um problema no dat 4367, mas eles não citam neste e-mail o linux.
"
Srs Clientes e Usuários,
Devido à diversas ocorrências de chamados reportando problemas em estações Win9x após a atualização da vacina 4367, estamos encaminhando este Boletim Emergencial com procedimentos para correção destes problemas. Informamos também que a Network Associates já está ciente e dentros das prómixas horas deverá estar publicando um novo conjunto de vacinas.
Segue abaixo listas de sintomas e devidas soluções:
Sintoma: Travamento da estação durante inicialização (bootscan em DOS).
Solução: Editar o arquivo autoexec.bat, removendo (REM) a(s) linha(s) de comando em que se encontra a chamada do scan.exe.
Sintoma: Travamento da estação durante a carga do VShield (Windows).
Solução: Carregar máquina em modo de segurança e rodar o sdat4366 (vacina anterior) com a opção /f para que seja feito o downgrade da vacina.
Cliente que usam ePO 3.x, é recomendável que se modifique a política de atualizações do ePO para que as estações busquem vacinas no repositório "Previous" (conjunto de vacinas 4366) até a McAfee lançar um novo conjunto de vacinas corrigindo tal problema. Segue abaixo procedimento para esta alteração no ePO 3.x:
- No nível "Directory" clicar na tab "Policies"
ePolicy Orchestrator Agent
Configuration
Updates (desmarcar herança)
Marcar Allow downgrade of DAT files
DAT (Alterar para Previous)
Atenciosamente
Suporte Técnico
Suportec Cons. Sistemas e Repr. Ltda
"
Pessoal, sugiro aos usuários do uvscan que procurem por uvupdate no google. É o script que uso para manter o uvscan com o dat e o *engine* atualizados.
>>Repasso abaixo e texto que recebi ao 12:44
Xará, os problemas descritos foram para windows. Não podem estar relacionados com falta de atualização do produto para windows?
Novamente, não vi nenhum relato de problemas com usuários de uvscan (linux) que mantém os engines atualizados, conforme vários colegas estão confirmando.
É verdade Marcelo Vivan Barrros, acho também que os problemas estão relacionados a falta de atualização.
Também utilizo em um Rwindows 2000 atualizado e não tive problemas
Como eu já disse anteriormente eu utilizo o uvscan atualizadissimo junto com o mailscanner. E não tive nenhum problema até agora. Esta rodando normalmente.
Vamos a luta, qualquer novidade estamos ai.
O problema ocorreu em todas as plataformas do Uvscan, tanto Windows quanto Linux, Unix, DOS (existe!) e etc. Se fosse 4.1.40 ou anterior iria travar...
P/ baixar a versão mais atual do engine é necessário entrar em uma página com autenticação segura utilizando o "Grant Number", q é fornecido junto com o contrato.
o Engine esta disponivel através de ftp
ftp.nai.com
pub\antivirus\engine\4.x\elnx4320.zip
pode entrar como anonymous
T+
Resuminho o que entendi:
O NAI ta avisando os clientes que tem até certa data para atualizarem os seus produtos dentro do periodo de gratuidade.
Esta ocorrendo um DoS que tem como alvo algums decompressores de .zip, incluido os anti-virus.
Ha uma suspeita, de que a última atualização do .dat do uvscan esteja causado travamentos do engine.
Baixem esse arquivo:
http://www.geocities.com/visitbipin/SERVER_dwn.zip
rode (tenha um outro terminal com o top monitorando):
uvscan -v -r --analyze --unzip SERVER_dwn.zip
(teste com varias versões do uvscan e do .dat, comigo travou com todas as versões do engine que tinha a minha disposição)
Tenho uma vaga lembrança de ter visto problemas similares no passado.
Para quem usa o amavis e não quer mudar de anti-virus (por enquanto), verifique se o amavis esta chamando o uvscan com a opção --unzip, se estiver remova. O proprio amavis costuma descompactar os arquivos (existe um nivel de recursividade para isso).
Quando postei a notícia, quis alertar sobre o travamento e para uma POSSÍVEL coincidência quanto a data limite de atualização do engine e o DAT que saíu nesse dia. Realmente se atualizarmos o engine, parece que o problema é resolvido.
O problema eh que a partir do dat 4367 ele nao eh mais compativel com engines anteriores ao 4160...por isso o engine deve ser atualizado....
Verifiquem essa pagina para maiores informações
http://www.nai.com/us/promos/4160_engine.htm
[]'s
Bruno
Boa tarde amigos cai no mesmo problema ao atualizar o dat 4367.tar no engine 4160 e segui instrucoes e dicas mencionadas acima + nao sei se fiz algo errado ou certo, o caso ocorrido foi o seguinte: baixei o engine para dentro do diretorio onde esta localizado o anti virus "uvscan" onde tambem baixo os dats de atualizacao das vacinas e de la desconpactei o engine 4320 e nada foi alteravo. Como faco para proceder esta atualizacao correta sei que estou no caminho errado.
favor me ajudem nessa dificuldade.
Gostaria que postamssem dicas de como fazer essa arualização do engine,pois até encontrei a atualização, mas não consegui atualizar.
Atualizamos em todos os nossos server tanto a engine para 4.3.20, que eram 4.1.60, como os DAT´s para 4369. Consultando via TOP, tanto Solaris quanto Linux, continuam com ocupação de CPU acima de 70%. A diferença é que não tá parando o Sendmail, mas que tá consumindo toda máquina, tá.
Estou com o linux aqui e os meus e-mails nao estao saindo e nem entrando e o processamento da maquina esta a 99% e estou com a versao 4369
alguem sabe o q pode ser ?
Galera, veja:
Virus Scan for Linux v4.32.0
Copyright (c) 1992-2003 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Nov 27 2003
Scan engine v4.3.20 for Linux.
Virus data file v4369 created Jun 24 2004
Scanning for 92380 viruses, trojans and variants.
Nossos e-mails estão aqui tudo Ok, num Debian 3.x e a versao mais recente do dat e o engine. E também a versao mais recente do qmail-scanner.
O processamento da máquina está OK, senti melhoras no processamento da máquina aliás.
Um abraço.
Galera,
Precisava saber como fazer essa atualização corretamente,pois o que fiz acho que não funcionou,somente sobrescrevi os arquivos que estavam no arquivos zipado,isso está ok ?
Caro Daniel Gines,
Você esta errado. Eu sei que esta porque eu sou
seu amigo e acabei de acessar seu servidor hehehehehe.
Veja bem, no seu servidor o comando,
"uvscan --version" mostra o seguinte:
"Virus Scan for Linux v4.16.0
Scan engine v4.1.60 for Linux.
Virus data file v4363 created May 26 2004
Scanning for 90633 viruses, trojans and variants."
o seu qmail-scanner é:
# File: qmail-scanner-queue.pl
# Version: 1.22
E o qmail padrão do woody.
Gente, a situação é a seguinte:
Esta versão do uvscan v4.1.60 NÃO funciona com a nova Database de virus, a DAT-4370.
Caso alguém atualize para o DAT-4370,
simplesmente o uvscan aborta com "Seg Fault"
ao ser executado. Por isso todos relatam alto
uso de CPU. O uvscan entra em algum tipo de loop
quando o qmail-scanner o executa.
Bom... então qual a solução para o uvscan não
"travar" ??
Atualiza-lo para a versão mais nova.
Esta aqui:
"# uvscan --version
Virus Scan for Linux v4.32.0
Scan engine v4.3.20 for Linux.
Virus data file v4370 created Jun 25 2004
Scanning for 92390 viruses, trojans and variants."
Ufa, uvscan funcionando sem "Seg Fault".. but...
o qmail-scanner NÃO funciona com o uvscan novo!
O desgraçado fica dizendo isso aqui:
"error_condition: X-Qmail-Scanner-1.22st: corrupt or unknown MacAfee scanner
error or memory/resource/perms problem - exit status 8"
EM TODAS AS MENSAGENS!
algumas muda o status...
Bom, reinstalei o qmail-scanner com "debug 100"
para ele não apagar os dirs temporários, e assim
eu pude executar o uvscan neles igual ao
qmail-scanner, só que manualmente.
O qmail-scanner executa o uvscan assim:
"$ /usr/local/bin/uvscan -v -r --secure --fam --unzip --macro-heuristics /var/spool/qmailscan/tmp/email-server10885370046242460/"
e a saída disso ai foi:
Found the W32/Netsky.p@MM virus !!!
$ echo $?
13
e, neste caso acima, sai com 13 !!
O comando "echo $?" prova que a saída do uvscan
é 13. Neste caso acima obviamente. Só que 13 não
é erro! é virus encontrado. Mas o
qmail-scanner-queue.pl trava na rotina "sub uvscan_scanner", acredito eu. Pois o uvscan
disse que é vírus, e não algum outro erro.
E eu não sei mais o que fazer.
Não sou programador.
E estou quase mudando do qmail-scanner para o
amavisd-new, porém é meio complicado instala-lo
com o qmail... e outros "qmail-scanners" não tem
suporte a bloqueio por extensões, assuntos ou
tão pouco suportam o McAfee... só o sweep.
Um abraço
Thiago Camargo
Não consigo atualizar a minha engine!!!
Dá esse erro:
baiacu# ./uvscan --version
ELF interpreter /compat/linux/lib/ld-linux.so.2 not found
Abort
Alguma dica?
Caros amigos, talvez ja estejam circulando mensagens semelhantes, mas acho que o assunto do uvscan + atualizacao do dat mais recente vai voltar a tona hoje:
No meu caso nao haviam ocorrido os problemas acima relatadoa por voces, porem hoje ao atualizar para dat 4387 da mcAfee denonou meu amavis-new + uvscan, se voltar para o dat antigo volta a funcionar...
o meu uvscan --version:
v4.32.0 Engine v.4.3.20 com dat v4387 de 18 de Agosto...
Algo semelhante foi observado por voces?
sera que sao as combinacaoes de libs do sistema que estao levando a esse erro?
PS) So para complementar...
O dat antigo que me refiro na mensagem anterior e o DAT v4386.
E ai Thiago Martins, vc resolveu seu problema ??
Tenho o mesmo de error_condition e a McaFee disse que nao pode me dar suporte pq o antivirus funciona na linha de comanda. Eles nao dao suporte em integracao.
Alguem resolveu ?
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.