This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.006-5] SAVI engine scan failed

On Sunday out of the blue, the web protection started to block all web traffic on the Sophos 9.006-5 running on a Pentium 4, 1GB RAM. Users were seeing "failed to get SAVI instance: no saviglue context". Reboots of the firewall did not help.

When the firewall's AV scanning was turned off in Web Protection: Web Filtering: Antivirus/Malware, web traffic started to work again.

When the firewall's Scan settings was changed from Sophos to Avira, under Management: System Settings: Scan Settings, and when the AV scanning was turned back on, web traffic continued to work.

The http.log shows errors like (I have attached a log extract): 

ERROR: Failed to load Sophos Anti-Virus threat data
SAVI engine scan failed: Unknown SAVI error
SAVI init failed: One of the files in a split-virus data set has the wrong checksum

Can anyone tell me what happened to the SAVI engine? Is this a bug or RAM exhaustion?


This thread was automatically locked due to age.
  • Seems there ist something gone wrong during the Up2Date process.

    If you're a business user please have your reseller open a support case wih sophos support.

    As a home license user I would save the config and do a clean reinstall, then reimport the config.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • Well on the bright side, changing the scan engine to Avira has made the box use less memory as you can see in the attached png file which is a good thing when the firewall only has 1GB of memory.

    I will have to try the wipe and reload/restore method when I am onsite next. 

    From the up2date log for the previous day:

    I can see that u2d-savi-9.2515-2516 was installed successfully on April 13 at 21:21 (as you can see in the attached up2date logextract). But by 23:00, the firewall could no longer connect to the Authentication server. This failure to connect to the authentication servers (all six) continued until 11:46am the day of the trouble and a minute before the http saviscanner errors.

    The firewall installedup2date package file '/var/up2date//savi/u2d-savi-9.2516-2517.patch.tgz.gpg'

    And right after that, the http log started showing those saviscanner.c errors.

    Is there a way to revert or delete the bad savi up2date install (other than a wipe and restore)?
  • uh no..if you only have 1 gigs of ram in the machine stick with 1 av...you need to double(preferably quintuple) the ram in that box as the minimum for v9 is 2 gigs.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • I had something similar happen to me today after an update:

    2013:05:12-19:43:16 hostname httpproxy[16114]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xaf91958" function="savi_scan" file="saviscanner.c" line="86" message="failed to get SAVI instance: no saviglue context [0x00000000]"

    I could not access the web either until I disabled antivirus on web filtering.  Finding this post, I switched to Avira and things started working again.

    I am however a little baffled by the response.  It seems very strange to me that one would have to reinstall the entire system because of a bad SAV update.  I just don't understand that at all.  Seems like you should be able to simply revert the update or reinstall the update in case it didn't go well.  I'm assuming there is something I am just not understanding at all and would appreciate any explanation.

    Additionally, I am new to Sophos UTM (testing out the Home Edition in place of my currently running Endian UTM which works great other than needing a better antivirus engine that's up to date).  As I've been learning this new software and ran across this issue, I've been peeking at the process list under Support > Advanced, and couldn't find a daemon or related service for Sophos or Avira.  How are these listed in the process list or is that service somehow only engaged by httpproxy as needed?  Along the same lines, but not necessarily related to this issue, if the antivirus service simply just hung or stopped, then outside of restarting the box, would a restart of httpproxy also restart antivirus (whether Sophos or Avira)?

    Lastly, just for reference my box is a quad core with 8 GB of RAM (so my issue shouldn't be related to the 1 GB issue just mentioned  [:)]

    Thanks again for your help and patience!
  • Seems like you should be able to simply revert the update or reinstall the update

    It's not possile to revert pattern updates.  Re-installing an update likely would have no effect even if it were possible.  These problems usually arise because the update file itself had an issue.  Re-imaging is the only way to get updates re-installed, and one would just count on the update itself having been repaired on the Sophos servers.

    I googled "no saviglue context" and saw that you and jcherian are the first people ever to report this message anywhere (congratulations! [;)]), so, unless one of the Sophos developers sees your post, I doubt that all of your questions can be answered.  You probably won't see antivirus running in the process list unless you can time the display to coincide with doing AV on a large file that's smaller than your max scan-size.

    I suspect that restarting httpproxy via the CLI would not cause AV to restart.  It should work to disable all anti-virus scanning (Web Filtering, FTP and SMTP) in WebAdmin and then re-enable it in all three.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Good morning,

    this seems to be an old thread but same error came to us this morning.
    Simply restarting Web-Protection fixed this issue.

    just fyi

    Regard,
    Shelly