heise Security

Alert! Codeschmuggel durch präparierte .exe-Dateien in ClamAV

Dirk Martin Knop

Der Sicherheitsdienstleister Secunia warnt in einer Sicherheitsmeldung vor einer Schwachstelle im quelloffenen Virenscanner ClamAV [1]. Angreifer können der Software mit manipulierten exe-Dateien fremden Code unterschieben.

Der Fehler beruht laut Secunias Meldung auf einer fehlerhaften Längenprüfung in der Funktion cli_scanpe() in libclamav/pe.c. Manipulierte PE-Executables (Windows-.exe-Dateien), die mit dem Upack-Laufzeitpacker komprimiert sind, können einen heapbasierten Pufferüberlauf [2] provozieren, in dessen Folge eingeschleuster Programmcode ausgeführt werden kann.

Der Sicherheitsmeldung zufolge wollen die ClamAV-Entwickler in Kürze eine aktualisierte Version veröffentlichen, die die Schwachstelle in der Version 0.92.1 und älteren abdichtet. Administratoren, die ClamAV etwa auf ihren Servern einsetzen, sollten das Update bei Verfügbarkeit umgehend einspielen; der fehlerhafte Code zum Verarbeiten von Upack-komprimierten Dateien ist den ClamAV-Entwicklern zufolge derzeit durch die Signatur-Updates deaktiviert.

Siehe dazu auch:

  • ClamAV Upack Processing Buffer Overflow Vulnerability [3], Sicherheitsmeldung von Secunia
  • Download [4] der aktuellen ClamAV-Version

(dmk)


URL dieses Artikels:
https://www.heise.de/security/meldung/Codeschmuggel-durch-praeparierte-exe-Dateien-in-ClamAV-199275.html

Links in diesem Artikel:
  [1] http://www.clamav.org/
  [2] https://www.heise.de/security/artikel/Ein-Haufen-Risiko-270800.html
  [3] http://secunia.com/secunia_research/2008-11/advisory/
  [4] http://www.clamav.org/download/