[Generic/ClamAV] Mehrere Schwachstellen in Antivirensoftware ClamAV Options

von Mickey vom 03.08.2017 - 173 Hits -

(2005-07-26 13:57:38.491808+02)
Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2005/07/msg00413.html

Mehrere Pufferüberlaufschwachstellen in der freien Antivirussoftware ClamAV bis inklusive der Version 0.86.1 ermöglichen die Ausführung beliebigen Programmcodes mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem. Zur erfolgreichen Ausnutzung der Schwachstelle ist es ausreichend eine betroffene Installation dazu zu bewegen, eine entsprechend formulierte Datei zu scannen. In einer typischen Installation ist dies leicht z. B. durch das Senden einer entsprechenden E-Mail-Nachricht möglich. Die aktuelle Version 0.86.2 behebt die Schwachstellen.

Betroffene Systeme
* Clam Anti-Virus ClamAV 0.51
* Clam Anti-Virus ClamAV 0.52
* Clam Anti-Virus ClamAV 0.53
* Clam Anti-Virus ClamAV 0.54
* Clam Anti-Virus ClamAV 0.60
* Clam Anti-Virus ClamAV 0.65
* Clam Anti-Virus ClamAV 0.67
* Clam Anti-Virus ClamAV 0.68, 0.68-1
* Clam Anti-Virus ClamAV 0.70
* Clam Anti-Virus ClamAV 0.80, 0.80 rc1, 0.80 rc2, 0.80 rc3, 0.80
rc4
* Clam Anti-Virus ClamAV 0.81
* Clam Anti-Virus ClamAV 0.82
* Clam Anti-Virus ClamAV 0.83
* Clam Anti-Virus ClamAV 0.84, 0.84 rc1, 0.84 rc2
* Clam Anti-Virus ClamAV 0.85, 0.85.1
* Clam Anti-Virus ClamAV 0.86, 0.86.1

Auch die folgenden Versionen für Apple Mac OS X sind betroffen:
* ClamXav 0.8b
* ClamXav 0.8.6c
* ClamXav 0.8.7b
* ClamXav 0.8.7b, 0.8.7c
* ClamXav 0.9.0f
* ClamXav 1.0g
* ClamXav 1.0.1

Nicht betroffene Systeme
* Clam Anti-Virus ClamAV 0.86.2
* Systeme, die mit entsprechenden Vendor-Patches zur Behebung der
Schwachstelle versehen sind, die aber i.d.R. nicht die
Versionsnummer ändern.

Einfallstor
* entsprechend präparierte TNEF-Datei (Microsoft
RTF-Mail-Attachments)
* entsprechend präparierte CHM-Datei (Microsoft Compiled HTML Help)
* entsprechend präparierte FSG-Datei (File Packer, meist von
Malware-Autoren benutzt)

Diese können im Prinzip über beliebige Wege zu einem betroffenen System gelangen, entscheidend ist, daß sie durch ClamAV auf Viren überprüft werden. Typisch für viele Szenarien sind u.a. die folgenden
Transportwege:
* E-Mail: eine entsprechende Datei ist in einer E-Mail-Nachricht
enthalten. Hier ist besonders die zentrale Virenfilterung auf
einem Mailserver zu beachten
* HTTP: eine entsprechende Datei wird von einem Webserver
heruntergeladen und lokal durch ClamAV auf Malware untersucht
* FTP: eine entsprechende Datei wird von einem FTP-Server
heruntergeladen und lokal durch ClamAV auf Malware untersucht
* beliebige weitere Einfallswege, bei denen Dateien von einem
entfernten System auf ein Betroffenes gelangen und dort von ClamAV
auf Malware untersucht wird.

Angriffsvoraussetzung
* Möglichkeit, einem betroffenen System eine entsprechende Datei zu
senden. I.a. ist eine beliebige Netzwerkverbindung ausreichend.
(remote)

Auswirkung
Hier ist zu beachten, daß in der Voreinstellung ClamAV mit Systemprivilegien ausgestattet ist und erst durch eine manuelle Konfigurationsänderung die Privilegien nach dem Start reduziert werden.
Voreingestellt gilt daher:
* Ausführung beliebigen Programmcodes mit Systemprivilegien
(system compromise)

In entsprechend konfigurierten Installationen gilt:
* Ausführung beliebigen Programmcodes mit den Privilegien des
Virenscanners
(user compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle (buffer overflow bug)

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Mehrere Pufferüberlaufschwachstellen in der freien Antivirussoftware ClamAV bis inklusive der Version 0.86.1 ermöglichen die Ausführung beliebigen Programmcodes mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem. Wird ClamAV in der voreingestellten Konfiguration betrieben, besitzt der Prozeß Systemprivilegien, was bei einer erfolgreichen Ausnutzung der Schwachstelle die Systemkompromittierung ermöglicht.

Mindestens in den Routinen zur Verarbeitung von [2]TNEF-, [3]CHM- und [4]FSG-Dateien sind Pufferüberlaufschwachstellen enthalten, die dazu ausgenutzt werden können, beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des ClamAV-Prozesses auszuführen.

Zur erfolgreichen Ausnutzung der Schwachstelle ist es ausreichend, eine betroffene Installation dazu zu bewegen, eine entsprechend präparierte Datei zu untersuchen. Virenscanner können an vielen Stellen eingesetzt werden, was die Zahl der möglichen Angriffsszenarien entsprechend erhöht.
In einer typischen Installation untersucht der Virenscanner eingehende und ggf. auch ausgehende E-Mail-Nachrichten auf einem Mailserver. In diesem Fall ist die Ausnutzung der Schwachstellen durch das Senden einer entsprechenden E-Mail-Nachricht an einen durch den Server versorgten E-Mail-Teilnehmer möglich.
Im Falle einer lokalen Installation von ClamAV kann die Schwachstelle durch jede Datei, die von der Software untersucht wird, ausgenutzt werden. Im allgemeinen werden auf einem System alle Dateien, die über irgendeinen Kanal in das Dateisystem gelangen, durch einen installierten Virenscanner untersucht. Dies gilt auch im besonderen Maße für E-Mail, aber auch Dateien, die von Web- oder FTP-Servern geladen oder über Netzwerkfreigaben eingebunden werden. Für die erfolgreiche Ausnutzung der Schwachstelle ist es in diesem Falle also beispielsweise ausreichend, eine entsprechende Datei über einen Server bereitzustellen.

Gegenmaßnahmen
* Upgrade auf [5]Clam Anti-Virus ClamAV 0.86.2

Für betroffene Versionen unter Mac OS X sind derzeit noch keine Gegenmaßnahmen verfügbar.

Vulnerability ID
* [6]BugtraqID 14359

Weitere Information zu diesem Thema
* [7]ClamAV Library Rem0te Heap Overflows Security Advisory

Revisionen dieser Meldung
* V 1.0 (2005-07-26)
+ Als Kurzmeldung veröffentlicht
* V 1.1 (2005-07-26)
+ Vollmeldung

Aktuelle Version dieses Artikels
[8]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1265

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2005 RUS-CERT, Universität Stuttgart, [9]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://help.netscape.com/kb/consumer/19981102-1.html
3. http://de.wikipedia.org/wiki/Compiled_HTML_Help
4. http://vil.nai.com/vil/content/v_128174.htm
5. http://prdownloads.sourceforge.net/clamav/clamav-0.86.2.tar.gz?download
6. http://www.securityfocus.com/bid/14359/info
7. http://www.rem0te.com/public/images/clamav.pdf
8. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1265
9. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE

[Kommentar schreiben]

Ich möchte eine Frage im Forum stellen