Schwachstellen in ClamAV behoben
Die Entwickler des Virenscanners ClamAV haben in Version 0.92.1 einige Sicherheitslücken behoben. Angreifern aus dem Netz war es zuvor möglich, dadurch fremden Code einzuschleusen.
Der quelloffene Virenscanner ClamAV ist in Version 0.92.1 erschienen. Darin haben die Entwickler einige SicherheitslĂĽcken behoben, durch die Angreifer aus dem Netz Schadcode einschleusen und ausfĂĽhren konnten.
In den Release-Notes auf den Sourceforge-Servern erläutern die Programmierer, dass sie einen möglichen Ganzzahl-Überlauf bei der Verarbeitung von ausführbaren Dateien im PE-Format ausgebessert haben. Einer Fehlermeldung des Sicherheitsdienstleisters iDefense zufolge prüft der Scanner Werte aus den PE-Dateien nicht bei der Verarbeitung, wodurch der Ganzzahl-Überlauf auftreten und in dessen Folge eingeschleuster Code ausgeführt werden kann. Ein weiterer Fehler bei der Verarbeitung von ausführbaren MEW-PE-Dateien kann zu einem Pufferüberlauf auf dem Heap führen.
Die Release-Notes enthalten keine Hinweise darauf, dass die Anfang Januar bekannt gewordenen Sicherheitslücken in der aktuellen Version behoben sind. Lokale Anwender können dadurch ihre Rechte im System ausweiten: Angreifer können die pseudo-zufälligen Dateinamen beim Scannen erraten, eigene Dateien mit diesem Namen in dem Ordner anlegen und dadurch an die Schreibrechte des Nutzers gelangen, der ClamAV gestartet hat – im ungünstigsten Fall root. Einen Dekodierer für Dateien in der Kodierung Base64-UUEncode rüstet ClamAV 0.92.1 offenbar ebenfalls nicht nach. Auch für einen Fehler in Sigtool, der eine Symlink-Attacke zum Überschreiben einiger Dateien ermöglicht, scheint es keinen Bugfix zu geben. Das Risiko dieser drei Lücken ist jedoch als gering einzustufen.
Da ClamAV häufig auf Gateway-Servern zum Scannen von Mails zum Einsatz kommt, können Angreifer die Schwachstellen zum Ausführen von Schadcode ausnutzen, indem sie beispielsweise E-Mails mit präparierten Dateianhängen verschicken. Nutzer von ClamAV sollten das Update schleunigst einspielen. Die Linux-Distributoren dürften in Kürze aktualisierte Pakete verteilen.
Derweil hat der Patentstreit, der zwischen Trend Micro und Barracuda Networks über den Einsatz von ClamAV auf Gateway-Servern ausgebrochen ist, noch zu keinen Ergebnissen geführt. Allerdings springt die holländische Bürgerrechtsorganisation Scriptum libre Barracuda Networks zur Seite und ruft zum Boykott von Produkten von Trend Micro auf. Unter dem Motto "Würden Sie Geschäfte mit einem Unternehmen machen, das Sie für den Einsatz von Konkurrenzprodukten verklagen würde?" schlagen die Bürgerrechtler vor, auf den Einsatz von Trend-Micro-Produkten zu verzichten und stellen auch ein Banner bereit, das Unterstützer der Kampagne auf ihre Homepage einbetten sollen. Die Organisation vergleicht Trend Micro auf der Kampagnen-Webseite mit SCO: Wie SCO habe Trend Micro die Grenzen des anständigen und ehrenhaften Kommerz verlassen, wurde zum Aussätzigen und solle bestraft werden.
Siehe dazu auch:
- Release Name: 0.92.1, Release-Notes zu ClamAV 0.92.1
- ClamAV libclamav PE File Integer Overflow Vulnerability, Fehlermeldung von iDefense
(dmk)
