Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1488

[Generic/ClamAV] Schwachstelle in ClamAV
(2008-11-11 09:11:12.80893+00)

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2008/11/msg00070.html

Die jüngst veröffentlichte Version 0.94.1 des quelloffenen Malwarescanners ClamAV stellt eine neue Statistikfunktion bereit und behebt eine ernste Schwachstelle, die bei der Untersuchung von VBA-Dateien zu einem Heap-Überlauf führen kann. Dieser Umstand kann von einem Angreifer z.B. durch das Senden eines entsprechenden Anhangs in einer E-Mail-Nachricht dazu ausgenutzt werden, auf dem beherbergenden System beliebigen Programmcode mit den Privilegien des ClamAV-Prozesses auszuführen.

Inhalt

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle im quelloffenen Malwarescanners ClamAV 0.94 und früheren Versionen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des ClamAV-Prozesses auf dem beherbergenden System auszuführen. Zwar sind dies auf einem ordentlich konfigurierten System keine administrativen Privilegien, da ClamAV Zugriff auf das E-Mail-System haben muss, sind dies in der Regel erhöhte Privilegien. Da in einer typischen Konfiguration der Malwarescanner zudem meist auf einem recht zentralen System installiert ist, das als Mail-Gateway fungiert, bedroht diese Schwachstelle nicht nur das beherbergende System, sondern die IT-Infrastruktur in der das beherbergende System agiert.

Die Schwachstelle tritt bei der Untersuchung von VBA-Dateien auf, die z.B. im Anhang einer E-Mail-Nachricht enthalten sein können, die an ein E-Mail-Konto gesandt wurde, das durch die betroffene ClamAV-Installation vor Malware geschützt wird. Sie löst einen Heap-Überlauf aus, der den ClamAV-Prozess in einen unbenutzbaren Zustand versetzt oder ihn abstürzen lässt bzw. potentiell die Ausführung beliebigen Programmcodes auf dem beherbergenden System ermöglicht.

Die jüngst veröffentlichte Version ClamAV 0.94.1 behebt die Schwachstelle und stellt darüberhinaus eine neue Statistikfunktion bereit, die das Senden von Statistiken entdeckter Malware an die Entwickler ermöglicht. Das ClamAV-Projekt möchte diese Daten aggregieren und daraus eine globale Statistik mit zeitlicher und qualitativer Verteilung der entdeckten Malware erstellen.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1488