RUS-CERT-1488 – Archivierte Meldung

Meldung Nr: RUS-CERT-1488

[Generic/ClamAV] Schwachstelle in ClamAV
(2008-11-11 09:11:12.80893+00)

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2008/11/msg00070.html

Die jüngst veröffentlichte Version 0.94.1 des quelloffenen Malwarescanners ClamAV stellt eine neue Statistikfunktion bereit und behebt eine ernste Schwachstelle, die bei der Untersuchung von VBA-Dateien zu einem Heap-Überlauf führen kann. Dieser Umstand kann von einem Angreifer z.B. durch das Senden eines entsprechenden Anhangs in einer E-Mail-Nachricht dazu ausgenutzt werden, auf dem beherbergenden System beliebigen Programmcode mit den Privilegien des ClamAV-Prozesses auszuführen.

Betroffene Systeme

ClamAV 0.94 und frühere Versionen

Nicht betroffene Systeme

ClamAV 0.94.1

Einfallstor

VBA-Datei (Visual Basic for Applications) z.B. in einem E-Mail-Anhang

Angriffsvoraussetzung

Möglichkeit, eine E-Mail-Nachricht an eine Adresse zu senden, deren Korrespondenz mittels ClamAV überprüft wird, also praktisch keine Voraussetzungen.
(network)

Angriffsvektorklasse

über eine Netzwerkverbindung (auch indirekt)
(remote)

Auswirkung

Versetzen des ClamAV-Prozesses in einen unbenutzbaren Zustand
(Denial of Service)
Ausführung beliebigen Programmcodes mit den Privilegien des ClamAV-Prozesses auf dem beherbergenden System
(user compromise)

Typ der Verwundbarkeit

Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential

hoch bis sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle im quelloffenen Malwarescanners ClamAV 0.94 und früheren Versionen kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des ClamAV-Prozesses auf dem beherbergenden System auszuführen. Zwar sind dies auf einem ordentlich konfigurierten System keine administrativen Privilegien, da ClamAV Zugriff auf das E-Mail-System haben muss, sind dies in der Regel erhöhte Privilegien. Da in einer typischen Konfiguration der Malwarescanner zudem meist auf einem recht zentralen System installiert ist, das als Mail-Gateway fungiert, bedroht diese Schwachstelle nicht nur das beherbergende System, sondern die IT-Infrastruktur in der das beherbergende System agiert.

Die Schwachstelle tritt bei der Untersuchung von VBA-Dateien auf, die z.B. im Anhang einer E-Mail-Nachricht enthalten sein können, die an ein E-Mail-Konto gesandt wurde, das durch die betroffene ClamAV-Installation vor Malware geschützt wird. Sie löst einen Heap-Überlauf aus, der den ClamAV-Prozess in einen unbenutzbaren Zustand versetzt oder ihn abstürzen lässt bzw. potentiell die Ausführung beliebigen Programmcodes auf dem beherbergenden System ermöglicht.

Die jüngst veröffentlichte Version ClamAV 0.94.1 behebt die Schwachstelle und stellt darüberhinaus eine neue Statistikfunktion bereit, die das Senden von Statistiken entdeckter Malware an die Entwickler ermöglicht. Das ClamAV-Projekt möchte diese Daten aggregieren und daraus eine globale Statistik mit zeitlicher und qualitativer Verteilung der entdeckten Malware erstellen.

Gegenmaßnahmen

Installation von ClamAV 0.94.1
GNU/Linux-Nutzer sollten die entsprechenden Pakete ihrer Distributoren installieren

Vulnerability ID

Bislang wurde noch kein CVE-Name vergeben.

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1488