Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1265

[Generic/ClamAV] Mehrere Schwachstellen in Antivirensoftware ClamAV
(2005-07-26 11:57:38.491808+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2005/07/msg00413.html

Mehrere Pufferüberlaufschwachstellen in der freien Antivirussoftware ClamAV bis inklusive der Version 0.86.1 ermöglichen die Ausführung beliebigen Programmcodes mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem. Zur erfolgreichen Ausnutzung der Schwachstelle ist es ausreichend eine betroffene Installation dazu zu bewegen, eine entsprechend formulierte Datei zu scannen. In einer typischen Installation ist dies leicht z. B. durch das Senden einer entsprechenden E-Mail-Nachricht möglich. Die aktuelle Version 0.86.2 behebt die Schwachstellen.

Betroffene Systeme

Auch die folgenden Versionen für Apple Mac OS X sind betroffen:

Nicht betroffene Systeme

Einfallstor

Diese können im Prinzip über beliebige Wege zu einem betroffenen System gelangen, entscheidend ist, daß sie durch ClamAV auf Viren überprüft werden. Typisch für viele Szenarien sind u.a. die folgenden Transportwege:

Angriffsvoraussetzung

Auswirkung
Hier ist zu beachten, daß in der Voreinstellung ClamAV mit Systemprivilegien ausgestattet ist und erst durch eine manuelle Konfigurationsänderung die Privilegien nach dem Start reduziert werden.
Voreingestellt gilt daher:

In entsprechend konfigurierten Installationen gilt:

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle (buffer overflow bug)

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Mehrere Pufferüberlaufschwachstellen in der freien Antivirussoftware ClamAV bis inklusive der Version 0.86.1 ermöglichen die Ausführung beliebigen Programmcodes mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem. Wird ClamAV in der voreingestellten Konfiguration betrieben, besitzt der Prozeß Systemprivilegien, was bei einer erfolgreichen Ausnutzung der Schwachstelle die Systemkompromittierung ermöglicht.

Mindestens in den Routinen zur Verarbeitung von TNEF-, CHM- und FSG-Dateien sind Pufferüberlaufschwachstellen enthalten, die dazu ausgenutzt werden können, beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des ClamAV-Prozesses auszuführen.

Zur erfolgreichen Ausnutzung der Schwachstelle ist es ausreichend, eine betroffene Installation dazu zu bewegen, eine entsprechend präparierte Datei zu untersuchen. Virenscanner können an vielen Stellen eingesetzt werden, was die Zahl der möglichen Angriffsszenarien entsprechend erhöht.
In einer typischen Installation untersucht der Virenscanner eingehende und ggf. auch ausgehende E-Mail-Nachrichten auf einem Mailserver. In diesem Fall ist die Ausnutzung der Schwachstellen durch das Senden einer entsprechenden E-Mail-Nachricht an einen durch den Server versorgten E-Mail-Teilnehmer möglich.
Im Falle einer lokalen Installation von ClamAV kann die Schwachstelle durch jede Datei, die von der Software untersucht wird, ausgenutzt werden. Im allgemeinen werden auf einem System alle Dateien, die über irgendeinen Kanal in das Dateisystem gelangen, durch einen installierten Virenscanner untersucht. Dies gilt auch im besonderen Maße für E-Mail, aber auch Dateien, die von Web- oder FTP-Servern geladen oder über Netzwerkfreigaben eingebunden werden. Für die erfolgreiche Ausnutzung der Schwachstelle ist es in diesem Falle also beispielsweise ausreichend, eine entsprechende Datei über einen Server bereitzustellen.

Gegenmaßnahmen

Für betroffene Versionen unter Mac OS X sind derzeit noch keine Gegenmaßnahmen verfügbar.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1265