Schwachstellen in mehreren Sicherheitsprodukten

Für mehrere Sicherheitsprodukte sind Berichte über Schwachstellen erschienen, durch die sich Filterfunktionen umgehen oder DoS-Angriffe durchführen lassen. ClamAV hat beispielsweise vor Version 0.95 Probleme, in bestimmte präparierte RAR-Archive hinzuschauen und gerät bei der Verarbeitung fehlerhafter TAR-Dateien in eine Endlosschleife. Beim Scan von ausführbaren PE-Dateien (EXE, DLL) mit dem Argument --detect-broken stürzt der Scanner zudem ab. In Version 0.95 sind die Fehler beseitigt.

F-Prot hat ein Problem mit manipulierten Headern in ZIP-Dateien, die ebenfalls dazu führen, dass eine möglicherweise infizierte Datei am Scanner unerkannt vorbeikommt. Nach Angaben des Sicherheitsspezialisten Thierry Zoller wurde der Hersteller Frisk bereits vor vier Jahren das erste Mal auf das Problem hingewiesen. Frisk betrachtet den Fehler jedoch nur als geringfügig und will ihn erst in der kommenden Version 4.5 seiner Scan-Engine beheben.

Laut Zoller kann auch IBMs Proventia-Scan-Engine nicht in bestimmte RAR-Archive hineinschauen. Zwar seien diese präpariert, dennoch ließen sie sich auf einem Desktop öffnen, womit eine Infektion möglich sei. Details will Zoller aber noch zwei Wochen zurückhalten. IBM sei über die Schwachstelle informiert, habe bislang aber noch nicht reagiert.

Alle genannten Probleme stellen mach Meinung von Zoller insbesondere auf Gateways ein Problem dar.

Siehe dazu auch

• ClamAV 0.94 and below - Evasion and bypass due to malformed archive, Beschreibung von Thierry Zoller
• clamd and clamscan get hung up by interesting file, Bug-Eintrag auf ClamAV.org
• Division by zero with --detect-broken, Bug-Eintrag auf ClamAV.org
• Potential parser (logic) bug #1 - RAR size, , Bug-Eintrag auf ClamAV.org
• F-Prot bypass/evasion - ZIP Method Field, Beschreibung von Thierry Zoller
• IBM Proventia - Evasion (limited details), Beschreibung von Thierry Zoller

(dab)