Fehler in H+BEDVs Linux-Version von AntiVir [Update]
Ein Fehler in H+BEDVs Linux-Version von AntiVir ermöglicht es lokalen, nicht-privilegierten Benutzern beliebige Dateien zu überschreiben.
Die Seite Excluded.org [1] hat einen Fehler in H+BEDVs [2] Linux-Version von AntiVir gemeldet, mit der es lokalen, nicht-privilegierten Benutzern möglich ist, beliebige Dateien zu überschreiben. Beim Starten erzeugt AntiVir eine temporäre Datei mit Lese- und Schreibrechten für Root, in dessen Namen die ID des Prozesses enthalten ist (/tmp/.pid_antivir_xx). Da die ID auf den meisten Systemen vorhersagbar ist, können lokale Benutzer mit einer Sym-Link-Attacke Dateien überschreiben, für die sie keine Rechte besitzen. Dazu versuchen sie die PID zu erraten und erzeugen einen symbolischen Link mit dem entsprechenden Namen, der auf eine beliebige andere Datei im System zeigt. Startet AntiVir und versucht nun selbst die temporäre Datei anzulegen, so wird die Datei gelöscht auf die der Sym-Link verweist, sofern der vorhergesagte Name und der von AntiVir verwendete übereinstimmen.
Dem Original-Advisory ist dazu ein Proof-of-Concept-Exploit beigefügt. Ob sich damit ein Benutzer seine lokalen Rechte ausbauen kann, ist strittig. Getestet wurde das Problem auf Version 2.0.9-9 unter Linux [3]. Andere Versionen sind wahrscheinlich ebenfalls betroffen. Ein Patch oder Workaround stehen derzeit nicht zur Verfügung.
Siehe dazu auch:
- Security Advisory [4] auf Excluded.org
Update:
H+BEDV stellt ein kostenloses Update der Linux-Version von AntiVir bereit [5], das den Fehler beseitigen soll.
(dab [6])
URL dieses Artikels:
https://www.heise.de/-91685
Links in diesem Artikel:
[1] http://www.excluded.org/
[2] http://www.hbedv.de/
[3] http://www.antivir.de/download/download.htm
[4] http://www.excluded.org/advisories/advisory07.txt
[5] http://www.antivir.de/download/download.htm#Updates
[6] mailto:dab@ct.de
Copyright © 2004 Heise Medien