Múltiples vulnerabilidades en ClamAV por la gestión de ejecutables comprimidos

Se han encontrado múltiples vulnerabilidades en Clam AntiVirus que podrían ser aprovechadas por un atacante remoto, o por ciertas muestras de malware, para causar una denegación de servicio o ejecutar código en un sistema vulnerable.

ClamAV es un motor antivirus de código abierto muy popular en el mundo del software libre, empleado con frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria.

Las vulnerabilidades se basan en una gestión potencialmente peligrosa de archivos binarios comprimidos con distintas herramientas.

* Según su descubridor, el investigador Alin Rad Pop, la primera vulnerabilidad está causada por un error de límites en la función cli_scanpe(), incluida en libclamav/pe.c. Esto podría ser aprovechado para causar un desbordamiento de memoria intermedia basado en heap por medio de un ejecutable especialmente manipulado, empaquetado con Upack. Un atacante remoto, podría hacer que la aplicación dejase de responder (denegación de servicio) o ejecutar código arbitrario.

* La segunda vulnerabilidad, descubierta por iDefense, está causada por un error de límites al procesar los PE empaquetados con el protector de ejecutables PeSpin. Esto podría ser aprovechado para casar un desbordamiento de memoria intermedia basado en pila, permitiendo la ejecución arbitraria de código.

* La tercera vulnerabilidad está causada por un error no especificado al procesar archivos ARJ especialmente manipulados que podrían causar que ClamAV dejara de responder. El archivo concreto que provoca la denegación de servicio viene incluido en un paquete de archivos creados especialmente por CERT-FI para detectar este tipo de problemas.

* IDefense ha reportado una cuarta vulnerabilidad similar a las anteriores que causada en este caso por un fallo al procesar los archivos PE binarios empaquetados con el compresor de ejecutables WWPack.

En la nueva versión se han añadido además mejoras en el manejo de archivos comprimidos y de distintos formatos, y también se han realizado modificaciones en los módulos unzip, SIS, cabinet,CHM y SZDD de las que no se han publicado detalles.

Las vulnerabilidades (tres de ellas calificadas como críticas) están confirmadas para la versiones 0.92 y 0.92.1 de Clam AntiVirus por lo que se recomienda actualizar a la nueva versión (ClamAV 0.93) tan pronto como sea posible. Se puede descargar desde: http://www.clamav.net/ http://sourceforge.net/projects/clamav/

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3462/comentar

Más información

Announcing ClamAV 0.93
http://lurker.clamav.net/message/20080414.161123.ba784ba8.en.html

Upack Buffer Overflow Vulnerability
https://www.clamav.net/bugzilla/show_bug.cgi?id=878

ClamAV libclamav PeSpin Heap Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=686

ARJ: Sample from CERT-FI hangs clamav
https://www.clamav.net/bugzilla/show_bug.cgi?id=897

ClamAV libclamav PE WWPack Heap Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=687

CERT-FI and CPNI Joint Vulnerability Advisory on Archive Formats
https://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: