ClamAV: Cisco Talos streicht veraltete Signaturen und halbiert Datenbankgröße

Aufräumaktion bei Open-Source-Virenscanner + Cisco Talos krempelt die Signaturdatenbanken des Open-Source-Virenscanners ClamAV grundlegend um. Die Sicherheitsexperten wollen veraltete Erkennungsmuster ausmustern, die in der aktuellen Bedrohungslandschaft keine Rolle mehr spielen. Das Ergebnis: Die Datenbankdateien werden sich ab Mitte Dezember 2025 nahezu halbieren.

Seit der Erstveröffentlichung im Jahr 2002 ist der Signaturbestand von ClamAV kontinuierlich angewachsen. Mittlerweile verursachen die wachsenden Datenmengen und die steigende Nutzerbasis erhebliche Verteilungskosten. Cisco Talos hat deshalb eine Bewertung der Wirksamkeit älterer Signaturen vorgenommen und trennt sich nun von Erkennungsmustern, die keinen nennenswerten Beitrag mehr zur Sicherheit leisten.

Deutlich schlankere Datenbanken

Die Auswirkungen der Bereinigung sind erheblich: Die Hauptdatenbank main.cvd schrumpft von derzeit 163 MByte (Stand September 2025) auf rund 80 MByte. Die tagesaktuellen Signaturen in daily.cvd reduzieren sich von 62 MByte auf etwa 22 MByte. Beide Dateien werden damit um ungefähr die Hälfte kleiner.

Cisco Talos richtet die Erkennungsinhalte künftig konsequent auf gegenwärtig aktive Bedrohungen und Angriffskampagnen aus. Als Grundlage dienen Signaturübereinstimmungen, die über längere Zeiträume in eigenen Datenfeeds und denen von Partnern erfasst wurden. Das Unternehmen betont, dass ausgemusterte Signaturen bei Bedarf wieder aktiviert werden können, sollten Angreifer auf alte Malware oder Exploits zurückgreifen.

Container-Images: Nur noch unterstützte Versionen

Parallel zur Signaturbereinigung entfernt Cisco Talos auch veraltete Container-Images aus Docker Hub. Dort lagern derzeit mehr als 300 GiByte an ClamAV-Images, von denen viele potenzielle Schwachstellen enthalten. Künftig stellt das Unternehmen nur noch Images für aktuell unterstützte ClamAV-Versionen bereit. Anwendern wird empfohlen, Feature-Release-Tags statt spezifischer Minor-Release-Versionen zu verwenden, um automatisch Sicherheits- und Bugfix-Updates zu erhalten.

Release	Tags
1.5	1.5, 1.5.1, latest, stable
1.4 LTS	1.4, 1.4.3
1.0 LTS	1.0, 1.0.9

Vorteile für die Anwender

Die Verkleinerung der Datenbanken bringt spürbare Verbesserungen: Kürzere Download-Zeiten sind der offensichtlichste Vorteil, doch vor allem der Ressourcenbedarf sinkt deutlich. Cisco Talos rechnet mit einer RAM-Reduzierung von bis zu 25 Prozent für die ClamAV-Engine. Auf manchen Serverkonfigurationen hatte der gestiegene Speicherbedarf bereits die verfügbaren Ressourcen überschritten.

Die Umstellung erfolgt am 16. Dezember 2025. Ab diesem Zeitpunkt werden Nutzer beim Update feststellen, dass main.cvd und daily.cvd deutlich kompakter ausfallen. Cisco Talos plant, den Signaturbestand auch künftig kontinuierlich zu pflegen und an die aktuelle Bedrohungslage anzupassen.

FAQ: Die wichtigsten Fragen

Bleiben ausgemusterte Signaturen zugänglich?
Cisco Talos will die entfernten Signaturen zu einem späteren Zeitpunkt für Forscher und Spezialfälle verfügbar machen.

Was geschieht bei erneutem Auftauchen alter Bedrohungen?
Das Team versichert, betroffene Signaturen zeitnah wieder in den aktiven Bestand aufzunehmen, sobald entsprechende Aktivitäten beobachtet werden.

Ist dies eine einmalige Aktion?
Nein, Cisco Talos wird die Signaturdatenbank fortlaufend kuratieren und bei Bedarf weitere veraltete Erkennungsmuster entfernen, um die Relevanz des Signaturbestands zu gewährleisten.

Ursprünglich veröffentlicht von ClamAV-Blog

Mehr Lesestoff:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk