Thema: ClamAV / Clamwin ...

[SiLæncer]

Der unter der GPL-Lizenz stehende Open-Source-Virenscanner ClamAV enthält fehlerhaften Code in einigen Dateibehandlungsroutinen, die Buffer-Overflows ermöglichen und damit möglicherweise die Ausführung von eingeschleustem Code erlauben. Betroffen sind die Parser für TNEF-, FSG- und CHM-Dateien.

Die fehlerhafte Behandlung von negativen Längenwerten sorgen bei den Datei-Parsern für TNEF- und CHM-Dateien dafür, dass ein Angreifer beispielsweise mit präparierten E-Mails einen Heap-Overflow auslösen und somit eingeschleusten Code zur Ausführung bringen könnte. Eine fehlerhafte Längenprüfung im FSG-Parser kann ebenfalls zum Auslösen eines Heap-basierten Pufferüberlaufs genutzt werden.

Betroffen sind Versionen der ClamAV-Bibliothek bis einschließlich 0.86.1 -- die Entwickler stellen aktualisierte Pakete der Version 0.86.2 bereit, die diesen und weitere Fehler nicht mehr enthalten. Da ClamAV typischerweise zum Scannen von E-Mails, Samba-Shares und Ähnlichem genutzt wird und somit Angriffe aus dem Netz heraus möglich sind, sollten die Pakete zügig aktualisiert werden.

Quelle und Links : http://www.heise.de/newsticker/meldung/62068

[SiLæncer]

Beim Überprüfen von UPX- oder FSG-komprimierten Programmen kann im Open-Source-Virenscanner ClamAV ein Pufferüberlauf auftreten. Dies könnten Angreifer dem französischen Security-Portal FrSIRT zufolge ausnutzen, um beim Scannen eigenen Code auszuführen oder zumindest den Scanner zum Absturz zu bringen. Dazu genügt es, beispielsweise eine entsprechend präparierte E-Mail an einen Server zu schicken, der ClamAV einsetzt, um ankommende Mails auf Viren zu untersuchen. Bereits im Juli wurden in ClamAV ähnliche Probleme bei der Behandlung von TNEF-, FSG- und CHM-Dateien entdeckt. Betroffen ist diesmal Clam AntiVirus 0.86.2 und vermutlich auch frühere Versionen. Die Entwickler stellen einer fehlerbereinigte Version 0.87 bereit.

Siehe dazu auch:

    * Release Notes zu Clam Antivirus 0.87
    * Security Advisory des FrSIRT

Quelle und Links : http://www.heise.de/newsticker/meldung/64024

[SiLæncer]

Der Open-Source-Virenscanner ClamAV schließt mit neuen Paketen mehrere Schwachstellen in den Dateibehandlungsroutinen. Wie schon häufiger in der Vergangenheit lässt sich der Scanner durch präparierte TNEF-, FSG- sowie CAB-Dateien aus dem Tritt bringen.

Manipulierte TNEF- und CAB-Dateien können bei der Verarbeitung durch die dateispezifischen Analysemodule diese in eine Endlosschleife schicken. Danach reagiert der Virenscanner nicht mehr. Die Routinen für FSG-Dateien patzen gelegentlich bei der Berechnung der Größe eines Puffers, wodurch möglicherweise Code eingeschleust und zur Ausführung kommen kann.

Wer ClamAV einsetzt, sollte die neuen Pakete zügig einspielen; insbesondere dann, wenn damit beispielsweise E-Mails auf Servern gefiltert werden.

Siehe dazu auch:

    * Changelog zu ClamAV 0.87.1

Quelle und Links : http://www.heise.de/newsticker/meldung/65758

[SiLæncer]

Die ClamAV-Entwickler haben die Version 0.88 des freien Virenscanners bereitgestellt. Sie behebt neben kleineren Fehlern auch eine Schwachstelle bei der Verarbeitung von UPX-komprimierten ausführbaren Dateien. Durch präparierte UPX-Archive war es möglich, einen heap-basierten Pufferüberlauf in der Virenscannerbibliothek zu provozieren.

Auf der ClamAV-Webseite sind neue Quell-Pakete verfügbar, die vorkompilierten Binärpakete für unterschiedliche Linux-Distributionen und Windows sind größtenteils noch nicht aktualisiert. Bis jetzt liefert nur Suse schon aktualisierte Packages.

Siehe dazu auch:

    * Changelog von ClamAV
    * Download des Quellcode-Pakets


Quelle und Links : http://www.heise.de/newsticker/meldung/68170

[SiLæncer]

Der Open-Source-Virenscanner ClamAV könnte beim Herunterladen von Signatur-Updates vom Update-Server untergeschobenen Code ausführen. Von dem Fehler betroffen ist das Kommandozeilen-Werkzeug Freshclam. Es dient dazu, von einem der Mirror des Update-Servers aktuelle Signaturen herunterzuladen. Die Entwickler stellen eine fehlerbereinigte Version bereit.

Der Download-Code in Freshclam nutzt für die beim Update anfallenden http-Header einen acht KByte großen Puffer. Ein manipulierter Server könnte übergroße, präparierte Header schicken, die einen Pufferüberlauf provozieren. Ein Angreifer müsste dazu vorher eine Pharming-Attacke auf den Client durchführen, um Update-Anfragen mit falschen DNS-Einträgen auf seinen manipulierten Server umzuleiten; eingeschleusten Code auszuführen, ist ebenfalls schwierig, für jede Plattform ist anderer Code – also unterschiedliche http-Header – notwendig.

Mit der Version 0.88.2 schließen die ClamAV-Entwickler die Lücke. Sie steht auf den Sourceforge-Seiten des Projektes bereit.

Siehe dazu auch:

    * Security advisory: 0.88.2, Sicherheitsmeldung der ClamAV-Entwickler
    * Projekt-Webseite mit Downloads auf Sourceforge

Quelle und Links : http://www.heise.de/security/news/meldung/72578

[SiLæncer]

Eine Schwachstelle im Open-Source-Virenscanner ClamAV ermöglicht Angreifern, beliebigen Code auf betroffenen Rechnern auszuführen. Der Fehler kann beim Entpacken von Programmen auftreten, die in das weit verbreitete UPX-Format komprimiert wurden.

In der Sicherheitsmeldung von overflow.pl verlinken die Entdecker der Lücke auch Proof-of-Concept-Code, der die Schwachstelle ausnutzt. Betroffen sind ClamAV 0.88.3 und möglicherweise ältere Versionen.

Auf der Projekt-Homepage steht inzwischen Version 0.88.4 bereit, die den Fehler nicht mehr enthalten soll. Alle Nutzer von ClamAV, insbesondere (Mail-)Server-Administratoren, die auf ClamAV setzen, sollten umgehend auf die neue Version aktualisieren.

Siehe dazu auch:

    * Clam AntiVirus Win32-UPX Heap Overflow , Sicherheitsmeldung von overflow.pl
    * Homepage mit Downloads der aktuellen Versionen von ClamAV

Quelle und Links : http://www.heise.de/security/news/meldung/76523

[SiLæncer]

Im quelloffenen Virescanner ClamAV wurden Sicherheitslücken entdeckt, die die Entwickler mit der neuen Version 0.88.5 schließen. Angreifer können in den vorherigen Versionen mit manipulierten CHM-Hilfe-Dateien den Scanner abstürzen lassen und so einen Denial-of-Service gegen den Dienst ausführen. In der Funktion zum erneuten Zusammensetzen von ausführbaren PE-Dateien nach deren entpacken kann ein Pufferüberlauf auf dem Heap auftreten – ob böswillige Individuen so beliebigen Programmcode einschleusen können, ist dem Changelog jedoch nicht zu entnehmen.

Auf der Projektseite auf Sourceforge stehen die aktuellen Quellen zum Download bereit. Die Linux-Distributoren dürften in Kürze ebenfalls aktualisierte Pakete des Virenscanners ausliefern.

Siehe dazu auch:

    * Changelog zu ClamAV 0.88.5
    * Prejektseite von ClamAV mit Download der Quell-Pakete

Quelle und Links : http://www.heise.de/security/news/meldung/79522

[SiLæncer]

Nicht nur, dass Virenscanner keinen hundertprozentigen Schutz vor Schädlingen bieten können, oftmals gefährden sie zudem noch die Systemstabilität oder reißen neue Lücken auf. Die Entwickler von ClamAV müssen deshalb mal wieder nachbessern. Bestimmte Base64-codierte MIME-Anhänge in einer Mail konnten den Scanner zum Absturz bringen und lassen sich so für DoS-Angriffe ausnutzen. Version 0.88.8 behebt das Problem.Die Lücke bei der Erkennung verschleierter MIME-Anhänge ist nach Angaben von Hendrik Weimer noch nicht beseitigt .

Auch Trend Micro musste nachlegen, nachdem iDefense einen Bericht über Probleme bei der Verarbeitung von RAR-Archiven veröffentlicht hat. Präparierte Dateien bringen den Scanner dazu, annähernd hundert Prozent der CPU-Resourcen zu verbrauchen. In der Folge reagiert der Rechner nicht mehr und muss neu gestartet werden. Betroffen sind Trend Micro PC Cillin - Internet Security 2006, Office Scan 7.3 sowie Server Protect 5.58. Dem Bericht ist nicht zu entnehmen, welche Scan-Engine genau den Fehler enthält. So soll die Lücke in Version 8.320 für die Windows-Produkte nicht enthalten sein. Für HPUX- und AIX-Systeme hat der Hersteller die Scan-Engine 8.150 herausgegeben. iDefense erwähnt in seinem Bericht auch Sophos. Dort wurde das Problem ebenfalls mit einen Update beseitigt.

Siehe dazu auch:

    * ClamAV 0.88.7, Releasenotes der Entwickler
    * Multiple Vendor Antivirus RAR File Denial of Service Vulnerability, Fehlerbericht von iDefense

Quelle und Links : http://www.heise.de/security/news/meldung/82375

[SiLæncer]

Die Entwickler der vorwiegend auf Mailservern eingesetzten Filterprogramme ClamAV für Viren und SpamAssassin für Werbemails haben fehlerbereinigte Versionen herausgegeben. ClamAV vor Version 0.90 und SpamAssassin vor Version 3.18 lassen sich unter Umständen durch manipulierte E-Mails zum Absturz bringen. Außerdem können Angreifer auf Servern mit alten ClamAV-Versionen per E-Mail unter Umständen Dateien auf dem Server überschrieben. Die neuen Versionen beheben die Probleme.

In verwundbaren ClamAV-Versionen kann es laut Sicherheitsdienstleister iDefense beim wiederholten Verarbeiten von CAB-Archiven mit Längenangabe Null im Header zu einem Zustand kommen, in dem der Scanner über keine freien Dateideskriptoren mehr verfügt und diverse Archiv-Typen nicht mehr durchsuchen kann. Je nach eingesetztem Mail-Server-Programm nimmt das System möglicherweise keine E-Mails mehr mit betroffenen Archiven an – darunter auch ZIP.

Außerdem landen E-Mails mit Zeichenketten wie "../../../" im id-Feld des MIME-Headers unter Umständen nicht im vorgesehenen temporären Verzeichnis. Angreifer können mit einem solchen Verzeichnisausbruch unter Umständen Dateien mit Inhalten von manipulierten E-Mails überschreiben, sofern der ClamAV-Prozess Schreibrechte hat.

SpamAssassin soll laut Changelog durch überlange URIs in E-Mails stolpern, die ihn Abstürzen lassen. Dies kann ebenfalls je nach Konfiguration und eingesetztem Mail-Server dazu führen, dass legitime E-Mails nicht mehr zugestellt werden. Mail-Server-Admins sollten ihre ClamAV- beziehungsweise SpamAssassin-Installation bei nächster Gelegenheit aktualisieren.

Siehe dazu auch:

    * Multiple Vendor ClamAV CAB File Denial of Service Vulnerability, Advisory von iDefense
    * Multiple Vendor ClamAV MIME Parsing Directory Traversal Vulnerability, Advisory von iDefense
    * Apache SpamAssassin 3.1.8 available!, Ankündigung und Changelog der Entwickler

Quelle und Links : http://www.heise.de/security/news/meldung/85418

[SiLæncer]

Die Entwickler der freien Antivirensoftware ClamAV haben Version 0.90.2 zum Download bereitgestellt, in der zahlreiche kleinere Fehler beseitigt und auch zwei potenzielle Sicherheitslücken geschlossen wurden, mit der sich die Software aus dem Tritt bringen oder ein System kompromittieren ließ. Der erste Fehler beruht auf einem fehlerhaften Dateideskriptor, der durch das Verarbeiten präparierter CHM-Hilfe-Dateien in der Funktion chm_decompress_stream im Modul libclamav/chmunpack.c verursacht wird. In der Folge stürzt der Scanner ab.

Die zweite Lücke steckt in den Funktionen cab_unstore und cab_extract zum Einlesen von CAB-Archiven. Dabei sollen CAB-Archive, bei denen der Offset manipuliert wurde, ebenfalls zu einem Absturz aufgrund eines Buffer Overflows führen. Allerdings wird nicht ausgeschlossen, dass sich darüber auch Code in einen Rechner schleusen und starten lässt. Inbesondere auf Mail-Gateways ist dazu keine Nutzerinteraktion erforderlich, eine Mail mit einem präparierten Anhang reicht dafür aus.

Nähere Angaben dazu gibt es aber noch nicht, der Entdecker der Lücke iDefense wird aber voraussichtlich demnächst einen detaillierteren Fehlerbericht veröffentlichen. Anwender sollten die neue Software so schnell wie möglich herunterladen und selbst übersetzen oder auf die Pakete der Linux-Distributoren warten.

Siehe dazu auch:

    * Release 0.90.2, Liste der Fehlerkorrekturen in ClamAV -> http://sourceforge.net/project/shownotes.php?release_id=500765

Quelle : www.heise.de

[SiLæncer]

Die ClamAV-Entwickler haben die Version 0.90.3 des Open-Source-Virenscanners veröffentlicht. Die neue Fassung behebt mehrere Sicherheitslücken, durch die Angreifer Code einschleusen oder Denial-of-Service-Attacken ausführen konnten.

Der Updater Freshclam konnte fremden Code ausführen, der durch präparierte DNS-Antworten seinen Weg in die Verarbeitungsroutinen fand – die Software kann solche DNS-Antworten zur Übertragung und Prüfung von Versionsinformationen nutzen. Beim Scannen einiger Archiv-Typen (zip, gz, bzip2 und szdd) konnte es passieren, dass ClamAV die Dateien im /tmp-Verzeichnis mit Leserechten für alle Benutzer angelegt hat, wodurch lokale Benutzer vertrauliche Informationen von anderen Nutzern ausspähen konnten. Die Routinen zum Verarbeiten von OLE-Datenströmen in Dokumenten ließen sich für einen Denial-of-Service missbrauchen.

ClamAV hatte auch Probleme beim Verarbeiten von manipulierten Archiv-Dateien wie .rar. Thierry Zoller von n.runs hat einen Fehler an die Entwickler gemeldet, durch den ClamAV in solche Dateien nicht hineinguckt und dadurch möglicherweise Schädlinge durchlässt. Diese und eine DoS-Lücke beim Verarbeiten von RAR-Archiven haben die Programmierer abgedichtet.

Auf der Webseite zu ClamAV stehen die Quelltexte der Version 0.90.3 zum Download bereit. Die Linux-Distributoren dürften wie üblich in Kürze ebenfalls aktualisierte Pakete verteilen. Nutzer von ClamAV sollten das Update möglichst zügig ausführen, um die Systemsicherheit nicht zu gefährden.

Siehe dazu auch:

    * Releasenotes zu ClamAV 0.90.3
    * Download der aktuellen ClamAV-Version

Quelle und Links : http://www.heise.de/security/news/meldung/90438

[SiLæncer]

Der quelloffene, kürzlich von Sourcefire übernommene Virenscanner ClamAV kann von Angreifern mit manipulierten Dokumenten im Rich-Text-Format (RTF) oder mit präparierten HTML-Dateien zum Absturz gebracht werden. Die Entwickler haben die Fehler mit einer neuen Version behoben.

In der Funktion cli_scanrtf() aus der Datei rtf.c kann eine sogenannte Null-Pointer-Dereference auftreten, das heißt, dass die Software versucht, einen bereits freigegebenen Zeiger erneut freizugegeben. Der Fehler lässt sich zu einem Denial-of-Service missbrauchen: Der Scanner stürzt ab. Auch in der Funktion cli_html_normalise() aus der Datei htmlnorm.c kann durch präparierte HTML-Dateien, die data:-URLs enthalten, eine Null-Pointer-Dereference auftreten.

Die Entwickler haben die Fehler in Version 0.91.2 von ClamAV behoben. Nutzer der Software sollten das Update so bald wie möglich einspielen. Die Linux-Distributoren dürften inzwischen ebenfalls aktualisierte Pakete bereitstellen.

Siehe dazu auch:

    * Changelog, Übersicht der Änderungen in ClamAV 0.91.2
    * Download der aktuellen ClamAV-Version

Quelle und Links : http://www.heise.de/newsticker/meldung/94763

[SiLæncer]

Einem Bericht auf der Sicherheits-Mailingliste Full Disclosure zufolge stecken in der erst kürzlich veröffentlichten Version 0.92 des freien Virenscanners ClamAV drei Schwachstellen, durch die ein am System angemeldeter Anwender seine Rechte erhöhen kann. Schuld daran ist unter anderem eine Race Kondition beim Anlegen temporärer Dateien. Schafft es ein Angreifer, den pseudozufällig erzeugten Namen einer Datei zu erraten und eine eigene Datei gleichen Namens mit präparierten Inhalt im von ClamAV benutzten Ordner anzulegen, so soll es möglich sein Schreibzugriff auf andere Dateien mit den Rechten des aufrufenden Benutzers zu erhalten – im ungünstigsten Fall hat Root ClamAV gestartet. Ein detaillierte Beschreibung findet sich im Original-Bericht.

Darüber hinaus prüft ClamAV keine Dateien, wenn sie Base64-UUEncoded sind. Somit lassen sich Schädlinge am Scanner vorbei schmuggeln. Allerdings handelt es sich dabei um keinen Programmierfehler, ClamAV hat schlichtweg keine Funktion, um solche Dateien zu scannen. Schießlich gibt es noch ein Problem mit dem im ClamAV enthaltenen Werkzeug Sigtool, das in einigen Fällen Dateien ohne Warnung überschreibt. Ein Update gibt es für die genannten Fehler nicht, auf der User-Mailingliste von ClamAV gibt es immerhin einen Vorschlag, wie sich die Race-Kondition begeben lässt. Insgesamt ist das Risiko der drei Schwachstellen eher als gering einzustufen.

Die Windows-Portierung ClamWin konnte im Vergleich mit 16 anderen Produkten in einem Test der c't-Redaktion nicht überzeugen. Nur der Scanner von CA hatte eine noch schlechtere Erkennungsleistung. Der komplette Test "17 Antivirus-Programme für Windows" ist in der aktuellen c't-Ausgabe 01/08 zu finden.

Siehe dazu auch:

    * TK53 Advisory #2: Multiple vulnerabilities in ClamAV, Fehlerbericht von Lolek
    * [Clamav-users] TK53 Advisory #2: Multiple vulnerabilities, Diskussion um die Schwachstellen
    * ClamAV 0.92 schließt Sicherheitsleck, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/101185/Drei-Schwachstellen-in-Virenscanner-ClamAV

[SiLæncer]

Der quelloffene Virenscanner ClamAV ist in Version 0.92.1 erschienen. Darin haben die Entwickler einige Sicherheitslücken behoben, durch die Angreifer aus dem Netz Schadcode einschleusen und ausführen konnten.

In den Release-Notes auf den Sourceforge-Servern erläutern die Programmierer, dass sie einen möglichen Ganzzahl-Überlauf bei der Verarbeitung von ausführbaren Dateien im PE-Format ausgebessert haben. Einer Fehlermeldung des Sicherheitsdienstleisters iDefense zufolge prüft der Scanner Werte aus den PE-Dateien nicht bei der Verarbeitung, wodurch der Ganzzahl-Überlauf auftreten und in dessen Folge eingeschleuster Code ausgeführt werden kann. Ein weiterer Fehler bei der Verarbeitung von ausführbaren MEW-PE-Dateien kann zu einem Pufferüberlauf auf dem Heap führen.

Die Release-Notes enthalten keine Hinweise darauf, dass die Anfang Januar bekannt gewordenen Sicherheitslücken in der aktuellen Version behoben sind. Lokale Anwender können dadurch ihre Rechte im System ausweiten: Angreifer können die pseudo-zufälligen Dateinamen beim Scannen erraten, eigene Dateien mit diesem Namen in dem Ordner anlegen und dadurch an die Schreibrechte des Nutzers gelangen, der ClamAV gestartet hat – im ungünstigsten Fall root. Einen Dekodierer für Dateien in der Kodierung Base64-UUEncode rüstet ClamAV 0.92.1 offenbar ebenfalls nicht nach. Auch für einen Fehler in Sigtool, der eine Symlink-Attacke zum Überschreiben einiger Dateien ermöglicht, scheint es keinen Bugfix zu geben. Das Risiko dieser drei Lücken ist jedoch als gering einzustufen.

Da ClamAV häufig auf Gateway-Servern zum Scannen von Mails zum Einsatz kommt, können Angreifer die Schwachstellen zum Ausführen von Schadcode ausnutzen, indem sie beispielsweise E-Mails mit präparierten Dateianhängen verschicken. Nutzer von ClamAV sollten das Update schleunigst einspielen. Die Linux-Distributoren dürften in Kürze aktualisierte Pakete verteilen.

Derweil hat der Patentstreit, der zwischen Trend Micro und Barracuda Networks über den Einsatz von ClamAV auf Gateway-Servern ausgebrochen ist, noch zu keinen Ergebnissen geführt. Allerdings springt die holländische Bürgerrechtsorganisation Scriptum libre Barracuda Networks zur Seite und ruft zum Boykott von Produkten von Trend Micro auf. Unter dem Motto "Würden Sie Geschäfte mit einem Unternehmen machen, das Sie für den Einsatz von Konkurrenzprodukten verklagen würde?" schlagen die Bürgerrechtler vor, auf den Einsatz von Trend-Micro-Produkten zu verzichten und stellen auch ein Banner bereit, das Unterstützer der Kampagne auf ihre Homepage einbetten sollen. Die Organisation vergleicht Trend Micro auf der Kampagnen-Webseite mit SCO: Wie SCO habe Trend Micro die Grenzen des anständigen und ehrenhaften Kommerz verlassen, wurde zum Aussätzigen und solle bestraft werden.

Siehe dazu auch:

    * Release Name: 0.92.1, Release-Notes zu ClamAV 0.92.1
    * ClamAV libclamav PE File Integer Overflow Vulnerability, Fehlermeldung von iDefense

Quelle : http://www.heise.de/newsticker/meldung/103420

[SiLæncer]

Die Entwickler des quelloffenen Virenscanners ClamAV bezeichnen die soeben veröffentlichte Version 0.95.1 lediglich als "Bugfix Release"; eine Sicherheitswarnung gibt es nicht. Sicherheitsdienstleister wie Secunia und das französische Vupen (früher FrSIRT) stufen es hingegen als kritisches Sicherheits-Udpate ein.

Grund für diese Einschätzung ist vor allem ein möglicher Pufferüberlauf in der Funktion cli_url_canon(), die URLs verarbeiten soll. Er lässt sich ausnutzen, um über den Virenscanner Code einzuschleusen und auszuführen. Ein Update von älteren ClamAV-Versionen ist also dringend anzuraten.

Siehe dazu auch:

    * announcing ClamAV 0.95.1, Ankündigung der neuen Version


Quelle : www.heise.de