Thema: Kritische Schwachstelle in Virenscannern von Computer Associates und ZoneLabs

[SiLæncer]

Computer Associates warnt vor einer kritischen Sicherheitslücke in seinen Antiviren-Produkten, mit der ein Angreifer einen Rechner mit Schadcode infizieren kann. Ursache des Problems ist ein Heap-basierter Buffer Overflow in CAs Scan-Engine (Vet Antivirus engine, VetE.dll), der beim Analysieren von bestimmten VBA-Macro-Headern und OLE-Streams in präparierten Microsoft-Office-Dokument auftritt. Um den Fehler auszunutzen, reicht es, dass der Angreifer ein derartiges Dokument per Mail an sein Opfer verschickt.

Betroffen sind:

Computer Associates eTrust Antivirus 6.0 Linux
Computer Associates eTrust Antivirus 6.0 Notes/Exchange
Computer Associates eTrust Antivirus 6.0 Solaris
Computer Associates eTrust Antivirus 6.0 Windows 95/98/ME
Computer Associates eTrust Antivirus 6.0 Windows NT/2000/XP
Computer Associates eTrust Antivirus 6.0 Windows NT/2000/XP SP1
Computer Associates eTrust Antivirus 6.0 Windows NT/2000/XP SP2
Computer Associates eTrust Antivirus 7.0 Notes/Exchange
Computer Associates eTrust Antivirus 7.0 Solaris
Computer Associates eTrust Antivirus 7.0 Windows 95/98/ME
Computer Associates eTrust Antivirus 7.0 Windows NT/2000/XP
Computer Associates eTrust Antivirus 7.1 Notes/Exchange
Computer Associates eTrust Antivirus 7.1 Solaris
Computer Associates eTrust Antivirus 7.1 Windows NT/2000/XP
Computer Associates eTrust Antivirus for the Gateway 7.0
Computer Associates eTrust Antivirus for the Gateway r7.1
Computer Associates eTrust EZ Antivirus 7
Computer Associates eTrust EZ Antivirus 7.0.0
Computer Associates eTrust EZ Antivirus 7.0.1
Computer Associates eTrust EZ Antivirus 7.0.1.4
Computer Associates eTrust EZ Antivirus 7.0.2
Computer Associates eTrust EZ Antivirus 7.0.2.1
Computer Associates eTrust EZ Antivirus 7.0.3
Computer Associates eTrust EZ Antivirus 7.0.4
Computer Associates eTrust EZ Antivirus 7.0.5
Computer Associates eTrust Intrusion Detection 1.4.1.13
Computer Associates eTrust Intrusion Detection 2.0
Computer Associates eTrust Intrusion Detection 2.0 SP1
Computer Associates eTrust Intrusion Detection 3.0
Computer Associates eTrust Intrusion Detection 3.0SP1
Computer Associates eTrust Secure Content Manager 1.0
Computer Associates eTrust Secure Content Manager 1.0 SP1
Computer Associates eTrust Secure Content Manager 1.1
Computer Associates InoculateIT 6.0
Computer Associates BrightStor ARCserve Backup (BAB) r11.1 Windows

Nach Angaben von Computer Associates wurde das Update zum Stopfen der Lücke bereits am 3. Mai an Firmenkunden verteilt. Privatanwender erhalten das Update seit dem gestrigen Montag über die automatische Aktualisierung. Ob die eigene Scan-Engine den Fehler enthält, können Nutzer anhand der Versionsnummer feststellen: Ab 11.9.1 ist die Schwachstelle beseitigt.

Da die gleiche Scan-Engine auch in Produkten von ZoneLabs eingesetzt wird, findet sich der Fehler auch dort. Betroffen sind alle Versionen von ZoneAlarm Antivirus und der ZoneAlarm Security Suite. Ein Patch für diese Produkte ist derzeit noch nicht verfügbar.

Ähnliche, auf Buffer Overflows beruhende Sicherheitslücken fanden sich zuvor auch in den Antiviren-Produkten von Trend Micro, Symantec und F-Secure. Auch dort führte bereits die Analyse von präparierten Dateien zur Infektion des Computers -- ohne Zutun des Anwenders.

Quelle und Links : http://www.heise.de/newsticker/meldung/59804

[SiLæncer]

In der CAM-Komponente (Computer Associates Message Queueing), die unter anderem im Netzwerkmanagement-System CA Unicenter eingesetzt wird, kommt es nach Herstellerangaben zu einem Buffer-Overflow, der sich zur Ausführung von beliebigem Code nutzen lässt. Er tritt auf, wenn durch manipulierte Datenpakete an Port 4105/tcp überlange Parameter an die Funktion log_security() übergeben werden. In seiner Security-Notice verweist der Hersteller auch auf die einzelnen Patches für betroffene Versionen und Produkte. Ein Remote-Exploit für die Windows-Version ist in einem Advisory des Sicherheitsspezialisten FrSIRT verfügbar.

Betroffen von der Lücke sind die CAM-Versionen 1.11, 1.07 und 1.05 auf allen Betriebssystemen. Besondere Vorsicht ist beim Auffinden des passenden Patches geboten, da eine Vielzahl unterschiedlicher Builds berücksichtigt werden muss. CAM kommt neben Unicenter auch in den CA-Produkten AdviseIT, Advantage Data Transport, BrightStor, CleverPath und eTrust zum Einsatz. In den vergangenen Monaten ist bereits eine Vielzahl von Problemen in CA-Produkten gemeldet worden.

Siehe dazu auch:

    * Security-Notice und Patches von CA
    * Advisory und Exploit von FrSIRT
    * Diverse CA-Produkte übers Netz angreifbar
    * 2. Versuch: CA BrightStor ARCserve-Patch
    * Leck in Backup-Software von CA

Quelle und Links : http://www.heise.de/newsticker/meldung/65085

[SiLæncer]

Computer Associates (CA) hat nach eigenen Angaben eine neue Version seiner Anti-Virus-Engine veröffentlicht, in der mehrere Schwachstellen in der arclib-Bibliothek behoben sind. Laut Bericht ließen sich die Schwachstellen ausnutzen, um infizierte Dateien mittels präparierter Archive am Scanner vorbeischmuggeln.

Ein derartiger Fehler ist etwa dann besonders schwerwiegend, wenn als Virenschutz nur ein zentrales Gateway vorhanden ist und kein weiterer Virenschutz auf Desktops installiert ist. Andernfalls erkennt spätestens der Desktop-Scanner beim Auspacken des Archivs die infizierte Datei. Da CA von Letzterem ausgeht, stuft der Hersteller das Risiko derzeit als gering ein.

Laut CA sind so gut wie alle Produkte auf allen unterstützen Plattformen von dem Problem betroffen. Dazu zählen unter anderem CA Anti-Virus for Enterprise (eTrust Antivirus), CA Anti-Virus 2007 (v8), 2008 eTrust EZ Antivirus, CA Internet Security Suite 2007 (v3), 2008, CA Anti-Virus Gateway. Auch CA ARCserve Backup ist verwundbar. Eine vollständige Liste ist im Original-Bericht des Herstellers zu finden. Der Fehler ist in arclib 7.3.0.15 behoben, die laut CA für die meisten Produkte bereits über das automatische Update verteilt wird. Bei Produkten ohne automatisches Update muss der Anwender über das manuelle Update aktualisieren.

Siehe dazu auch:

    * Security Notice for CA Anti-Virus Engine, Bericht von CA

Quelle : www.heise.de