[ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
Mi Nov 27 11:48:34 CET 2019 

> > Ich sehe konkret sowas:
> > 
> > ...,OLETOOLS_FAIL(0.00){failed - err: RETURN_OPEN_ERROR;},...
> > ...,OLETOOLS_FAIL(0.00){failed to scan, maximum retransmits exceed - err: memory:7 unmatched open brace at 5; memory:7 unmatched open brace at 3; memory:7 unmatched open brace at 1; ;},...
> 
> Ist das Rspamd 2.2 mit aktuellem olefy? Sieht mir nach einem kaputten
> json Report aus.

Ja, ist es. Es stellte sich heraus, daß olevba gekotzt hat:

Nov 27 11:30:46 mail-cbf python3[48534]: olefy ERROR oletools <6b3d68> olevba exited with code 8; err: 'ERROR    Unhandled exception in main:
must be str, not bytes\nTraceback (most recent call last):\n  File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line
3999, in main\n    curr_return_code = process_file(filename, data, container, options)\n  File
"/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line 3818, in process_file\n    relaxed=options.relaxed)\n  File
"/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line 3434, in __init__\n    super(VBA_Parser_CLI, self).__init__(*args,
**kwargs)\n  File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line
2603, in __init__\n    self.open_ppt()\n  File "/usr/local/lib/python3.6/dist-packages/oletools/olevba.py", line
2902, in open_ppt\n    for vba_data in ppt.iter_vba_data():\n  File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line
1147, in wrapped\n    for result in func(self, self._open_main_stream, *args, **kwargs):\n  File
"/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line 1604, in iter_vba_data\n    yield
self.decompress_vba_storage(storage)\n  File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line
1114, in wrapped\n    return func(self, self._open_main_stream, *args, **kwargs)\n  File
"/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line 1555, in decompress_vba_storage\n    iterative_decompress(stream,
storage.data_size)\n  File "/usr/local/lib/python3.6/dist-packages/oletools/ppt_parser.py", line
1624, in iterative_decompress\n    decomp += decompressor.decompress(stream.read(n_new))\nTypeError: must be str,
not bytes\n'

> > Der Name ist irgendwas.xls.pdf
> 
> Ja der match derzeit einfach dumm auf beide Extensions. Ich weiß leider
> nicht mehr warum ich das beabsichtigt habe. Was meint Ihr, ist das
> generell sinnvoll für Filescanner? Windows sollte
> Ablaufplan_Musterzimmer_BHH.xls.pdf nicht als Excel ausführen.

Korrekt, daher meine ich, der Match sollte auf die "hinterste" Extension gehen, also nur "\.xls$" (in regexp - was es ja nicht ist)

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de

Mehr Informationen über die Mailingliste Postfixbuch-users