Fehler in ClamAV und SpamAssassin behoben

Die Entwickler der vorwiegend auf Mailservern eingesetzten Filterprogramme ClamAV für Viren und SpamAssassin für Werbemails haben fehlerbereinigte Versionen herausgegeben. ClamAV vor Version 0.90 und SpamAssassin vor Version 3.18 lassen sich unter Umständen durch manipulierte E-Mails zum Absturz bringen. Außerdem können Angreifer auf Servern mit alten ClamAV-Versionen per E-Mail unter Umständen Dateien auf dem Server überschrieben. Die neuen Versionen beheben die Probleme.

In verwundbaren ClamAV-Versionen kann es laut Sicherheitsdienstleister iDefense beim wiederholten Verarbeiten von CAB-Archiven mit Längenangabe Null im Header zu einem Zustand kommen, in dem der Scanner über keine freien Dateideskriptoren mehr verfügt und diverse Archiv-Typen nicht mehr durchsuchen kann. Je nach eingesetztem Mail-Server-Programm nimmt das System möglicherweise keine E-Mails mehr mit betroffenen Archiven an – darunter auch ZIP.

Außerdem landen E-Mails mit Zeichenketten wie "../../../" im id-Feld des MIME-Headers unter Umständen nicht im vorgesehenen temporären Verzeichnis. Angreifer können mit einem solchen Verzeichnisausbruch unter Umständen Dateien mit Inhalten von manipulierten E-Mails überschreiben, sofern der ClamAV-Prozess Schreibrechte hat.

SpamAssassin soll laut Changelog durch überlange URIs in E-Mails stolpern, die ihn Abstürzen lassen. Dies kann ebenfalls je nach Konfiguration und eingesetztem Mail-Server dazu führen, dass legitime E-Mails nicht mehr zugestellt werden. Mail-Server-Admins sollten ihre ClamAV- beziehungsweise SpamAssassin-Installation bei nächster Gelegenheit aktualisieren.

Siehe dazu auch:

• Multiple Vendor ClamAV CAB File Denial of Service Vulnerability, Advisory von iDefense
• Multiple Vendor ClamAV MIME Parsing Directory Traversal Vulnerability, Advisory von iDefense
• Apache SpamAssassin 3.1.8 available!, Ankündigung und Changelog der Entwickler

(cr)