Sicherheitsleck in ClamAV

Der Open-Source-Virenscanner ClamAV könnte beim Herunterladen von Signatur-Updates vom Update-Server untergeschobenen Code ausführen. Von dem Fehler betroffen ist das Kommandozeilen-Werkzeug Freshclam. Es dient dazu, von einem der Mirror des Update-Servers aktuelle Signaturen herunterzuladen. Die Entwickler stellen eine fehlerbereinigte Version bereit.

Der Download-Code in Freshclam nutzt für die beim Update anfallenden http-Header einen acht KByte großen Puffer. Ein manipulierter Server könnte übergroße, präparierte Header schicken, die einen Pufferüberlauf provozieren. Ein Angreifer müsste dazu vorher eine Pharming-Attacke auf den Client durchführen, um Update-Anfragen mit falschen DNS-Einträgen auf seinen manipulierten Server umzuleiten; eingeschleusten Code auszuführen, ist ebenfalls schwierig, für jede Plattform ist anderer Code – also unterschiedliche http-Header – notwendig.

Mit der Version 0.88.2 schließen die ClamAV-Entwickler die Lücke. Sie steht auf den Sourceforge-Seiten des Projektes bereit.

Siehe dazu auch: (dmk)

• Security advisory: 0.88.2, Sicherheitsmeldung der ClamAV-Entwickler
• Projekt-Webseite mit Downloads auf Sourceforge