Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1493

[Generic/ClamAV] Schwachstelle in ClamAV
(2008-12-04 21:19:19.981209+00) Druckversion

Quelle: https://wwws.clamav.net/bugzilla/show_bug.cgi?id=1266

Die neue Version ClamAV 0.94.2 behebt einen Entwurfsfehler früherer Versionen in den Routinen zur Untersuchung von JPEG-Bildern. Durch speziell präparierte Bilder, die rekursiv weitere Bilder enthalten ist es möglich, betroffene Systeme in einen unbenutzbaren Zustand zu versetzen.

Inhalt

Betroffene Systeme

  • 0.94.1 und frühere Versionen

Nicht betroffene Systeme

  • 0.94.2

Einfallstor

  • speziell präpariertes JPEG-Bild

Angriffsvoraussetzung

  • Möglichkeit, entsprechendes JPEG-Bild an ein betroffenes System zur Analyse zuzuleiten. Dies kann z.B. mittels einer E-Mail-Nachricht geschehen, die von ClamAV auf Malware untersucht wird.
    (network)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Versetzen des betroffenen Systems in einen unbenutzbaren Zustand
    (denial of service)
    Insbesondere bei zentralen Mailscannern kann dies je nach Konfiguration zu erheblichen Störungen im Mailbetrieb führen.

Typ der Verwundbarkeit

  • Entwurfsfehler
    (design flaw)

Gefahrenpotential

  • unmittelbar: mittel
    mittelbar: ggf. hoch
    Je nach Konfiguration kann dies zu erheblichen Störungen im Mailbetrieb führen. Wenn in einem solchen Fall der Malwarescanner abgeschaltet wird, erhöht sich die Gefährdung der Mailempfänger, die durch das betroffene System versorgt werden mittelbar signifikant.

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle in den Routinen zur Untersuchung von JPEG-Bildern des quelloffenen Malwarescanners ClamAV kann durch rekursiv aufgebaute Bilder in eine Schleife geraten, die schließlich dazu führt, dass der gesamte verfügbare Speicher aufgebraucht wird und mindestens der ClamAV-Daemon in einen unbenutzbaren Zustand versetzt wird bzw. abstürzt.

Je nach Konfiguration kann dies zu erheblichen Störungen im Mailbetrieb führen, da normalerweise Nachrichten erst dann ausgeliefert werden, wenn ihre Überprüfung abgeschlossen ist. Wenn der ClamAV-Daemon in einen unbenutzbaren Zustand gerät, stockt die Nachrichtenauslieferung, im schlimmsten Fall für alle Benutzer. Wenn in einem solchen Fall der Malwarescanner abgeschaltet wird, erhöht sich die Gefährdung der Mailempfänger, die durch das betroffene System versorgt werden mittelbar signifikant, da sie keinen Schutz vor Malware mehr genießen.

Dies ist eine Schwachstelle, die unmittelbar ein eher mittleres Gefahrenpotential besitzt, denn unmittelbar ist nur das Schutzziel der Verfügbarkeit bedroht. Durch den eventuellen Wegfall des durch das betroffenen System bereitgestellten sicherheitsrelevanten Dienstes kann sie jedoch mittelbar ein sehr viel höheres Gefahrenpotential für die durch den Malwarescanner geschützten Systeme entwickeln, insbesondere dann, wenn der Dienst zur Wiederherstellung der Betriebsfähigkeit der Mailzustellung abgeschaltet wird.

Gegenmaßnahmen

  • Installation bzw. Update auf ClamAV 0.94.2
  • GNU/Linux-Nutzer sollten die entsprechenden Pakete ihrer Distributoren installieren

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.