ClamAV 0.92 schließt Sicherheitsleck
Die Version 0.92 von ClamAV dichtet ein Sicherheitsleck ab, durch das Angreifer beliebigen Programmcode einschleusen und ausführen können.
Die Entwickler des quelloffenen Virenscanners ClamAV haben die Version 0.92 veröffentlicht, die eine Sicherheitslücke schließt, durch die Angreifer der Software Schadcode unterjubeln können. Dem Sicherheitsdienstleister iDefense zufolge kann der Fehler in älteren Versionen auftreten, wenn diese bestimmte, laufzeitgepackte ausführbare Dateien untersuchen.
Beim Entpacken von ausführbaren Windows-Dateien im Portable-Executable-Format (PE), die mit dem Laufzeitpacker MEW komprimiert sind, verlässt sich die Scan-Engine auf Längenangaben innerhalb des Datei-Headers, ohne sie auf Gültigkeit zu überprüfen. Da sie bei der späteren Berechnung für den zu reservierenden Speicherbereich auf dem Heap genutzt werden, kann der Speicherbereich aufgrund eines möglichen Ganzzahlüberlaufs zu klein dimensioniert sein und ein Pufferüberlauf auftreten. Dabei kann eingeschleuster Code mit den Rechten des Scanners zur Ausführung gelangen.
Auf den Projektseiten von ClamAV steht die fehlerbereinigte Version 0.92 im Quelltext zum Download bereit. Die Linux-Distributoren dürften in Kürze aktualisierte Pakete verteilen, die Nutzer der Software umgehend einspielen sollten. Administratoren, die die Software etwa auf Mailservern einsetzen, sollten entweder den Virenscanner selbst aus den aktualisierten Quellen erstellen oder die Untersuchung von PE-Dateien in der Konfiguration des Scanners bis zur Verfügbarkeit eines Updates deaktivieren.
Siehe dazu auch:
- ClamAV libclamav MEW PE File Integer Overflow Vulnerability, Sicherheitsmeldung von iDefense
- Download der aktuellen ClamAV-Version
(dmk)
