Mehrere Pufferüberlaufschwachstellen in der freien Antivirussoftware ClamAV bis inklusive der Version 0.86.1 ermöglichen die Ausführung beliebigen Programmcodes mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem. Zur erfolgreichen Ausnutzung der Schwachstelle ist es ausreichend eine betroffene Installation dazu zu bewegen, eine entsprechend formulierte Datei zu scannen. In einer typischen Installation ist dies leicht z. B. durch das Senden einer entsprechenden E-Mail-Nachricht möglich. Die aktuelle Version 0.86.2 behebt die Schwachstellen.

Betroffene Systeme

• Clam Anti-Virus ClamAV 0.51
• Clam Anti-Virus ClamAV 0.52
• Clam Anti-Virus ClamAV 0.53
• Clam Anti-Virus ClamAV 0.54
• Clam Anti-Virus ClamAV 0.60
• Clam Anti-Virus ClamAV 0.65
• Clam Anti-Virus ClamAV 0.67
• Clam Anti-Virus ClamAV 0.68, 0.68-1
• Clam Anti-Virus ClamAV 0.70
• Clam Anti-Virus ClamAV 0.80, 0.80 rc1, 0.80 rc2, 0.80 rc3, 0.80 rc4
• Clam Anti-Virus ClamAV 0.81
• Clam Anti-Virus ClamAV 0.82
• Clam Anti-Virus ClamAV 0.83
• Clam Anti-Virus ClamAV 0.84, 0.84 rc1, 0.84 rc2
• Clam Anti-Virus ClamAV 0.85, 0.85.1
• Clam Anti-Virus ClamAV 0.86, 0.86.1

• ClamXav 0.8b
• ClamXav 0.8.6c
• ClamXav 0.8.7b
• ClamXav 0.8.7b, 0.8.7c
• ClamXav 0.9.0f
• ClamXav 1.0g
• ClamXav 1.0.1

Nicht betroffene Systeme

• Clam Anti-Virus ClamAV 0.86.2
• Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor

• entsprechend präparierte TNEF-Datei (Microsoft RTF-Mail-Attachments)
• entsprechend präparierte CHM-Datei (Microsoft Compiled HTML Help)
• entsprechend präparierte FSG-Datei (File Packer, meist von Malware-Autoren benutzt)

• E-Mail: eine entsprechende Datei ist in einer E-Mail-Nachricht enthalten. Hier ist besonders die zentrale Virenfilterung auf einem Mailserver zu beachten
• HTTP: eine entsprechende Datei wird von einem Webserver heruntergeladen und lokal durch ClamAV auf Malware untersucht
• FTP: eine entsprechende Datei wird von einem FTP-Server heruntergeladen und lokal durch ClamAV auf Malware untersucht
• beliebige weitere Einfallswege, bei denen Dateien von einem entfernten System auf ein Betroffenes gelangen und dort von ClamAV auf Malware untersucht wird.

Angriffsvoraussetzung

• Möglichkeit, einem betroffenen System eine entsprechende Datei zu senden. I.a. ist eine beliebige Netzwerkverbindung ausreichend.
  (remote)

Auswirkung
Hier ist zu beachten, daß in der Voreinstellung ClamAV mit Systemprivilegien ausgestattet ist und erst durch eine manuelle Konfigurationsänderung die Privilegien nach dem Start reduziert werden.
Voreingestellt gilt daher:

• Ausführung beliebigen Programmcodes mit Systemprivilegien
  (system compromise)

• Ausführung beliebigen Programmcodes mit den Privilegien des Virenscanners
  (user compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle (buffer overflow bug)

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Mehrere Pufferüberlaufschwachstellen in der freien Antivirussoftware ClamAV bis inklusive der Version 0.86.1 ermöglichen die Ausführung beliebigen Programmcodes mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem. Wird ClamAV in der voreingestellten Konfiguration betrieben, besitzt der Prozeß Systemprivilegien, was bei einer erfolgreichen Ausnutzung der Schwachstelle die Systemkompromittierung ermöglicht.

Mindestens in den Routinen zur Verarbeitung von TNEF-, CHM- und FSG-Dateien sind Pufferüberlaufschwachstellen enthalten, die dazu ausgenutzt werden können, beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des ClamAV-Prozesses auszuführen.

Zur erfolgreichen Ausnutzung der Schwachstelle ist es ausreichend, eine betroffene Installation dazu zu bewegen, eine entsprechend präparierte Datei zu untersuchen. Virenscanner können an vielen Stellen eingesetzt werden, was die Zahl der möglichen Angriffsszenarien entsprechend erhöht.
In einer typischen Installation untersucht der Virenscanner eingehende und ggf. auch ausgehende E-Mail-Nachrichten auf einem Mailserver. In diesem Fall ist die Ausnutzung der Schwachstellen durch das Senden einer entsprechenden E-Mail-Nachricht an einen durch den Server versorgten E-Mail-Teilnehmer möglich.
Im Falle einer lokalen Installation von ClamAV kann die Schwachstelle durch jede Datei, die von der Software untersucht wird, ausgenutzt werden. Im allgemeinen werden auf einem System alle Dateien, die über irgendeinen Kanal in das Dateisystem gelangen, durch einen installierten Virenscanner untersucht. Dies gilt auch im besonderen Maße für E-Mail, aber auch Dateien, die von Web- oder FTP-Servern geladen oder über Netzwerkfreigaben eingebunden werden. Für die erfolgreiche Ausnutzung der Schwachstelle ist es in diesem Falle also beispielsweise ausreichend, eine entsprechende Datei über einen Server bereitzustellen.

Gegenmaßnahmen

• Upgrade auf Clam Anti-Virus ClamAV 0.86.2

Vulnerability ID

• BugtraqID 14359

Weitere Information zu diesem Thema

• ClamAV Library Rem0te Heap Overflows Security Advisory

Revisionen dieser Meldung

• V 1.0 (2005-07-26)
  • Als Kurzmeldung veröffentlicht
• V 1.1 (2005-07-26)
  • Vollmeldung

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/