Sicherheitslücken: Codeschmuggel und Leistungsverweigerung bei ClamAV

Inhaltsverzeichnis

Die Entwickler des quelloffenen Virenscanners ClamAV legen gleich drei neue Versionen vor, die unter anderem zwei schwere Sicherheitslücken beheben. Zudem bringt die brandneue Ausgabe 1.3.0 Unterstützung für OneNote-Dateien mit.

Kommandoschmuggel per Format String

Sowohl die LTS-Versionen 1.0.0 bis 1.0.4 als auch ClamAV 1.2.0 und 1.2.1 enthielten einen Fehler in der Verarbeitung des Namens einer gescannten Datei, der schwere Auswirkungen hat. Die Lücke mit der CVE-ID CVE-2024-20328 kann von einem Angreifer aus der Ferne ausgenutzt werden, um einen ClamAV-Server zur Ausführung beliebiger Kommandos zu zwingen.

Der Fehler versteckt sich in der Konfigurations-Direktive VirusEvent, die eigentlich zur Ausführung eines Kommandos beim Fund eines Virus gedacht ist. Das kann nützlich sein, um den Admin zu benachrichtigen oder die infizierte Datei in ein spezielles Quarantäne-Verzeichnis zu kopieren. Die Direktive erlaubt dem Admin, den Dateinamen mittels der Variablen %f in das Kommando einzufügen – und prüft diese Variable nicht, bevor sie den Befehl ans Betriebssystem weiterreicht.

Da dieser Fehler ohne weitere Berechtigungen über das Internet ausgenutzt werden kann, dürfte der CVSS-Wert entsprechend hoch ausfallen. Noch ist jedoch keine offizielle Einschätzung des Schweregrads erschienen – heise security rechnet damit, dass das Sicherheitsleck als kritisch eingestuft wird, möglicherweise gar mit dem höchstmöglichen CVSS-Wert von 10. Der Entdecker Amit Schendel relativierte auf Anfrage der Redaktion diese Einschätzung jedoch: Er ordnet die Sicherheitslücke als mittelschwer ein, da die Konfigurationseinstellung VirusEvent im Auslieferungszustand von ClamAV nicht aktiviert sei. Er beschreibt seinen Fund in einem ausführlichen Blogartikel.

Neben den oben erwähnten Versionen sind auch alle Versionen des Versionsstrangs 1.1 und die Versionen 0.104 und 0.105 von der Lücke betroffen.

ClamAV verschluckt sich an OLE2

Ein zweites Sicherheitsproblem in der Antivirus-Software sorgt hingegen "nur" dafür, dass ClamAV aus dem Tritt gerät und den Dienst verweigert. Verwundbar sind ebenfalls ClamAV 1.0.0 bis 1.0.4, 1.2.0 und 1.2.1 sowie alle 1.1er-Versionen.

Ursächlich ist hier ein Pufferüberlauf im Heap beim Versuch, eine Datei mit OLE2-Daten zu verarbeiten. Angreifer, die diese Lücke (CVE-2024-20290, Schweregrad "hoch", CVSS 7,5/10) ausnutzen, können damit den aktuellen ClamAV-Prozess zum Absturz bringen, jedoch keine eigenen Kommandos ausführen.

ClamAV hat fehlerbereinigte Versionen bereitgestellt, die die Versionsnummern 1.0.5 und 1.2.2 tragen. Admins sollten zügig patchen, die großen Linux-Distributionen haben jedoch noch nicht reagiert. Wer noch ClamAV 1.1 nutzt, möge auf eine neuere Version wechseln, über Bugfixes in den 0.x-Versionen verliert der Blogartikel zum Update jedoch kein Wort.

Unklar ist auch, ob die brandneue Version 1.3.0 die Sicherheitsprobleme behebt – die Annahme liegt jedoch nahe. Zudem bringt ClamAV 1.3.0 eine Unterstützung für OneNote-Attachments, die per Konfigurationsdirektive oder über die Kommandozeile an- oder abgeschaltet werden kann. Auch kompilierte Python-Dateien mit der üblichen Endung .pyc kann ClamAV nun auf Malware überprüfen. Das ist eine willkommene Ergänzung, gibt es doch immer wieder Malware in Repositories wie PyPi.

Auch Cisco-Produkte betroffen

ClamAV, das im vorvergangenen Jahr sein 20-jähriges Bestehen feierte, wird unter Federführung von Cisco weiterentwickelt. Der Netzwerkausrüster warnt seinerseits in einem separaten Sicherheitshinweis vor den Auswirkungen des Denial-of-Service-Fehlers auf seine eigenen Produkte. Der Secure Endpoint Connector für Windows und das Produkt Secure Endpoint Private Clouds tragen den schadhaften Code in sich und sind ab den Versionen 7.5.17 respektive 8.2.1 (Endpoint Connector for Windows) sowie 3.8.0 (Secure Endpoint Private Cloud) repariert. Cisco hat kürzlich auch weitere Sicherheitslecks in seinen Produkten ausgebessert.

(cku)