[Eisfair] Fehler bei clamav
Marcus Roeckrath
marcus.roeckrath at gmx.de
Di Okt 22 12:21:01 CEST 2019
Hallo Stefan,
Stefan Puschek wrote:
>>> der aktuelle clamav 1.2.64 kann seine Definitionen nicht mehr
>>> aktualisieren; wie behebe ich das?
>>
>> Indem das passende Root-Zertifikat installiert wird, und zwar
>> Addtrust External CA Root
>
> wo hätte ich diese Info denn selbst finden können? In der Paket-Doku
> habe ich nix gefunden...
Wie das mit ähnlichen Problemen immer so ist, wenn eine https-Verbindung
fehlschlägt, kann das Serverzertifikat nicht verifiziert werden. Das das
Problem in diese Richtung geht, zeigt ein Blick in das clamav-Update-Log
unter /var/log.
Ich hatte das Problem auch nur auf einer Maschine und konnte mir das daher
nicht sofort erklären.
Dann habe ich mir mit
/var/install/bin/certs-request-cert --writecert --replace http
https://database.clamav.net
mal das von den clamav-Servern präsentierte Zertifikat downgeloadet, was
dann folgende Zertifikate ins System spült:
eis # /var/install/bin/certs-request-cert --simulate http
https://database.clamav.net | grep " file "
certificate file 'ssl392509.cloudflaressl.com.pem' ...
certificate file 'comodo_ecc_domain_validation_secure_server_ca_2.pem' ...
certificate file 'comodo_ecc_certification_authority.pem' ...
Nun im Certs-Menu mal die Chain des obersten Zertifikates angesehen zeigte
auf meinem privaten system ein fehlendes Zertifikat für "AddTrust External
CA Root". Clamav liefert mit seinem Zertifikat die Zwischenzertifikate von
commodo mit aus, aber korrekterweise nicht das Root.
Damit war klar, warum es auf meinem Schulserver ging, denn da hatte ich das
Zertifikat zufällig aus anderen Gründen schon installiert.
> Tante google findet alle möglichen Update-Probleme, aber dieses ist
> nicht dabei...
Warum das Problem nun erstmalig mit der neuen Version von clamav auftritt,
kann ich nicht sagen, vielleicht war früher ein fallback auf eine
ungesicherte http Verbindung am Start.
> Eigentlich müssten doch jetzt alle Benutzer des clamav hier aufschlagen
> mit diesem Problem :)
Nein, denn wer das Addtrust-Zertifikat zufällig auf dem System hat, merkt
von dem Problem nichts. IMHO steckt es auch im nachinstallierbaren
Mozilla-Bundle.
Ich habe aber auf meinen Systemen mal alle Zertifikate aus dem Bundle wieder
entfernt, die ich offensichtlich nicht brauche.
Das hat dann aber den Effekt, dass man da schonmal in die SSL-Falle laufen
kann.
Wer möglichst Ruhe bei dem Thema haben will, sollte das Bundle installieren.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair