Drei Schwachstellen in Virenscanner ClamAV

Einem Bericht auf der Sicherheits-Mailingliste Full Disclosure zufolge stecken in der erst kürzlich veröffentlichten Version 0.92 des freien Virenscanners ClamAV drei Schwachstellen, durch die ein am System angemeldeter Anwender seine Rechte erhöhen kann. Schuld daran ist unter anderem eine Race Kondition beim Anlegen temporärer Dateien. Schafft es ein Angreifer, den pseudozufällig erzeugten Namen einer Datei zu erraten und eine eigene Datei gleichen Namens mit präparierten Inhalt im von ClamAV benutzten Ordner anzulegen, so soll es möglich sein Schreibzugriff auf andere Dateien mit den Rechten des aufrufenden Benutzers zu erhalten – im ungünstigsten Fall hat Root ClamAV gestartet. Ein detaillierte Beschreibung findet sich im Original-Bericht.

Darüber hinaus prüft ClamAV keine Dateien, wenn sie Base64-UUEncoded sind. Somit lassen sich Schädlinge am Scanner vorbei schmuggeln. Allerdings handelt es sich dabei um keinen Programmierfehler, ClamAV hat schlichtweg keine Funktion, um solche Dateien zu scannen. Schließlich gibt es noch ein Problem mit dem im ClamAV enthaltenen Werkzeug Sigtool. Mit einer Symlink-Attacke ist es möglich, in einigen Fällen Dateien zu überschreiben. Ein Update gibt es für die genannten Fehler nicht, auf der User-Mailingliste von ClamAV gibt es immerhin einen Vorschlag, wie sich die Race-Kondition beheben lässt. Insgesamt ist das Risiko der drei Schwachstellen eher als gering einzustufen.

Die Windows-Portierung ClamWin konnte im Vergleich mit 16 anderen Produkten in einem Test der c't-Redaktion nicht überzeugen. Nur der Scanner von CA hatte eine noch schlechtere Erkennungsleistung. Der komplette Test "17 Antivirus-Programme für Windows" ist in der aktuellen c't-Ausgabe 01/08 zu finden.

Siehe dazu auch:

• TK53 Advisory #2: Multiple vulnerabilities in ClamAV, Fehlerbericht von Lolek
• [Clamav-users] TK53 Advisory #2: Multiple vulnerabilities, Diskussion um die Schwachstellen
• ClamAV 0.92 schließt Sicherheitsleck, Meldung auf heise Security

(dab)