Sicherheitsleck in ClamAV
Der Open-Source-Virenscanner ClamAV könnte beim Herunterladen von Signatur-Updates vom Update-Server untergeschobenen Code ausführen.
Der Open-Source-Virenscanner ClamAV könnte beim Herunterladen von Signatur-Updates vom Update-Server untergeschobenen Code ausführen. Von dem Fehler betroffen ist das Kommandozeilen-Werkzeug Freshclam. Es dient dazu, von einem der Mirror des Update-Servers aktuelle Signaturen herunterzuladen. Die Entwickler stellen eine fehlerbereinigte Version bereit.
Der Download-Code in Freshclam nutzt für die beim Update anfallenden http-Header einen acht KByte großen Puffer. Ein manipulierter Server könnte übergroße, präparierte Header schicken, die einen Pufferüberlauf provozieren. Ein Angreifer müsste dazu vorher eine Pharming-Attacke auf den Client durchführen, um Update-Anfragen mit falschen DNS-Einträgen auf seinen manipulierten Server umzuleiten; eingeschleusten Code auszuführen, ist ebenfalls schwierig, für jede Plattform ist anderer Code – also unterschiedliche http-Header – notwendig.
Mit der Version 0.88.2 schließen die ClamAV-Entwickler die Lücke. Sie steht auf den Sourceforge-Seiten des Projektes bereit.
Siehe dazu auch: (dmk)
- Security advisory: 0.88.2, Sicherheitsmeldung der ClamAV-Entwickler
- Projekt-Webseite mit Downloads auf Sourceforge