ClamAV schmeißt alte Signaturen aus seiner Datenbank

ClamAV schmeißt alte Signaturen aus seiner Datenbank

Quelle: ClamAV

ClamAV Signature Retirement

Die Macher des Virenscanners ClamAV wollen ihre Signaturdatenbank verschlanken. Dazu werfen sie Signaturen über Bord, die „keinen Wert mehr für die Community“ haben. Das führt jedoch zu einem unangenehmen Nachteil.

Der Virenscanner ClamAV erkennt Malware mithilfe von Signaturen, die wiederum eine entsprechende Datenbank sammelt. Seit dem Erscheinen von ClamAV im Jahr 2002 kamen stets neue Signaturen hinzu, so dass die Signaturdatenbank mittlerweile stark angewachsen ist. Da gleichzeitig immer mehr Nutzer den Virenscanner verwenden, steigen beim ClamAV-Projekt die Hosting-Kosten für die Bereitstellung und Auslieferung der Datenbank.

Um diese Kosten im Zaum zu halten, wird das ClamAV-Projekt ältere Signaturen aus der Datenbank werfen. Die Auswahl trifft dabei derzeit das Sicherheitsunternehmen Cisco Talos – Cisco ist gleichzeitig treibende Kraft hinter dem Virenscanner.

Durch das Ausmustern der Signaturen kann der Virenscanner die zugehörige alte Malware nicht mehr erkennen. Das ClamAV-Team verspricht jedoch, dass nur Signaturen aus der Datenbank fliegen, die im Hinblick auf die „aktuelle Sicherheitslandschaft“ entbehrlich sind.

Dazu will das ClamAV-Projekt zusammen mit nicht näher genannten Partnern die aktuelle Sicherheitslage beobachten. In der Datenbank verbleiben nur noch Signaturen, deren zugehörige Malware derzeit tatsächlich zum Einsatz kommt. Sollte plötzlich eine ältere Malware wieder auftauchen, will das ClamAV-Projekt die entsprechende Signatur in die Datenbank zurückholen.

Durch diese Strategie schrumpft die zentrale „main.cvd“-Datenbank von 163 MByte auf nur noch rund 80 MByte. Die verkleinerte Fassung der Signaturdatenbank kommt ab dem 16. Dezember 2025 zum Einsatz. Alle entfernten Signaturen sollen später in einer separaten Datenbank für „Forscher“ und „Spezialfälle“ bereitstehen.

Wie sich die Streichungen auswirken, lässt sich derzeit noch nicht abschätzen – zumal es auch keine Angaben darüber gibt, welche Signaturen konkret entfernt wurden. Im besten Fall erkennt ClamAV weiterhin alle Bedrohungen, im schlechtesten könnte ältere Malware erneut aufleben.

Abschließend werden die ClamAV-Macher zahlreiche Container-Images im DockerHub ausmustern. Übrig bleiben nur noch Images mit den aktuell unterstützten ClamAV-Version. Diese Strategie ist durchaus zu begrüßen, enthalten ältere Versionen mitunter Sicherheitslücken und Fehler.

Ähnliche Artikel

IPFire 2.29 Core Update 202 schließt Kernel-Lücken

IPFire 2.29 Core Update 202

IPFire-Maskottchen
Tim Schürmann

Die neue Version der schlanken und flexiblen Firewall stopft die vor einigen Tagen entdeckten kritischen Sicherheitslücken im Kernel. Das Update von OpenVPN auf die Version 2.7 steigert zudem massiv den Durchsatz über VPN-Tunnel.

Was sonst noch unwichtig war in der Kalenderwoche 21/26

Was sonst noch unwichtig war

Tim Schürmann

Fünf fabelhafte Fakten der Woche, die es irgendwie nicht zu einer Meldung auf Linux-Magazin Online geschafft haben – und warum eigentlich nicht. Oder mit den Worten einer namhaften KI: „Die Linux-Woche in Bits und Panik.“

WordPress 7.0 verbessert Backend-Optik und setzt auf KI

WordPress 7.0

Logo WordPress
Tim Schürmann

Die Louis Armstrong gewidmete Version des Content-Management-Systems kommuniziert auf Wunsch mit generativer KI, zeigt ein leicht aufpoliertes Backend, erlaubt einen schnellen Blick in die Vergangenheit und kann die Schriftbibliothek in allen Themes nutzen.

Proxmox VE 9.2 bietet neuen dynamischen Load Balancer

Proxmox VE 9.2

Proxmox-Logo
Tim Schürmann

Das Proxmox Virtual Environment bietet einen neuen Cluster Resource Scheduler (CRS) für das Load Balancing, verbessert das Software Defined Networking (SDN), verwaltet benutzerdefinierte CPUs über die Weboberfläche und erlaubt ein „disarm“ des HA-Managers.

Tails 7.8: Thunderbird ist nicht mehr standardmäßig dabei

Tails 7.8

Tails-Logo
Tim Schürmann

Das Live-System Tails erlaubt das anonyme Surfen im Internet über das Tor-Netzwerk. Die neue Version 7.8 schmeißt Thunderbird von Bord – wer den E-Mail-Client benötigt, muss ihn ab sofort manuell nachinstallieren. Diese Maßnahme hat allerdings einen triftigen Grund.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben