Die neue Version ClamAV 0.94.2 behebt einen Entwurfsfehler früherer Versionen in den Routinen zur Untersuchung von JPEG-Bildern. Durch speziell präparierte Bilder, die rekursiv weitere Bilder enthalten ist es möglich, betroffene Systeme in einen unbenutzbaren Zustand zu versetzen.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Kontext
• Beschreibung
• Gegenmaßnahmen
• Vulnerability ID
• Weitere Information zu diesem Thema

Betroffene Systeme

• 0.94.1 und frühere Versionen

Nicht betroffene Systeme

• 0.94.2

Einfallstor

• speziell präpariertes JPEG-Bild

Angriffsvoraussetzung

• Möglichkeit, entsprechendes JPEG-Bild an ein betroffenes System zur Analyse zuzuleiten. Dies kann z.B. mittels einer E-Mail-Nachricht geschehen, die von ClamAV auf Malware untersucht wird.
  (network)

Angriffsvektorklasse

• über eine Netzwerkverbindung
  (remote)

Auswirkung

• Versetzen des betroffenen Systems in einen unbenutzbaren Zustand
  (denial of service)
  Insbesondere bei zentralen Mailscannern kann dies je nach Konfiguration zu erheblichen Störungen im Mailbetrieb führen.

Typ der Verwundbarkeit

• Entwurfsfehler
  (design flaw)

Gefahrenpotential

• unmittelbar: mittel
  mittelbar: ggf. hoch
  Je nach Konfiguration kann dies zu erheblichen Störungen im Mailbetrieb führen. Wenn in einem solchen Fall der Malwarescanner abgeschaltet wird, erhöht sich die Gefährdung der Mailempfänger, die durch das betroffene System versorgt werden mittelbar signifikant.

Beschreibung

Je nach Konfiguration kann dies zu erheblichen Störungen im Mailbetrieb führen, da normalerweise Nachrichten erst dann ausgeliefert werden, wenn ihre Überprüfung abgeschlossen ist. Wenn der ClamAV-Daemon in einen unbenutzbaren Zustand gerät, stockt die Nachrichtenauslieferung, im schlimmsten Fall für alle Benutzer. Wenn in einem solchen Fall der Malwarescanner abgeschaltet wird, erhöht sich die Gefährdung der Mailempfänger, die durch das betroffene System versorgt werden mittelbar signifikant, da sie keinen Schutz vor Malware mehr genießen.

Dies ist eine Schwachstelle, die unmittelbar ein eher mittleres Gefahrenpotential besitzt, denn unmittelbar ist nur das Schutzziel der Verfügbarkeit bedroht. Durch den eventuellen Wegfall des durch das betroffenen System bereitgestellten sicherheitsrelevanten Dienstes kann sie jedoch mittelbar ein sehr viel höheres Gefahrenpotential für die durch den Malwarescanner geschützten Systeme entwickeln, insbesondere dann, wenn der Dienst zur Wiederherstellung der Betriebsfähigkeit der Mailzustellung abgeschaltet wird.

Gegenmaßnahmen

• Installation bzw. Update auf ClamAV 0.94.2
• GNU/Linux-Nutzer sollten die entsprechenden Pakete ihrer Distributoren installieren

Vulnerability ID

• CVE-2008-5314

Weitere Information zu diesem Thema

• [Clamav-announce] announcing ClamAV 0.94.2
• CVE request: clamav 0.94.2
• Bugzilla Bug 1266: recursive stack overflow in jpeg parsing code
• ClamAV 0.94.2 behebt Buffer Overflow beim Scannen von JPG-Bildern (heise)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/