[Warning] Kritische Sicherheitslücken in ClamAV - Updates verfügbar
Robert Waldner
waldner at cert.at
Fri Feb 17 14:24:58 CET 2023
17. Februar 2023
Beschreibung
Zwei kritische Schwachstellen in ClamAV erlauben es
unauthentisierten Angreifenden, beliebigen Code auszuführen.
CVE-Nummer(n): CVE-2023-20032, CVE-2023-20052
Auswirkungen
Die Lücken in ClamAV können durch präparierte HFS+ bzw. DMG Images
ausgelöst werden. Da ClamAV oft als Virenscanner in Mailservern
eingesetzt wird, können durch den Versand entsprechender Files per
Email verwundbare Installationen kompromittiert werden.
Dies hat entsprechende Auswirkungen, vor allem auf Mailservern sind
Szenarien denkbar in denen nach Kompromittierung die komplette
Email-Kommunikation von Angreifenden nicht nur mitgelesen sondern
auch gezielt verändert werden kann.
Es ist auch davon auszugehen, dass Angreifende zeitnah entsprechende
Dateien vor allem per Spam-Email in grossem Stil verbreiten werden.
Betroffene Systeme
Systeme, auf denen ClamAV in folgenden Versionen eingesetzt wird:
- ClamAV 0.103 vor 0.103.8
- ClamAV 0.104
- ClamAV 0.105 vor 0.105.2
- ClamAV 1.0 vor 1.0.1
Abhilfe
Update auf die entsprechenden fehlerbereinigten Versionen 0.103.8,
0.105.2 oder 1.0.1.
Das ClamAV-Projekt weist weiters ausdrücklich darauf hin, dass
ClamAV 0.104 nicht mehr unterstützt wird, und daher auch keine
Fehlerbereinigungen für die aktuellen Schwachstellen mehr bekommen
wird.
Wo ein Update noch nicht verfügbar ist, sollte angedacht werden für
AV-Filterung temporär auf andere Software auszuweichen, oder AV-
Filterung (mit entsprechender Awareness bei den Nutzer:innen)
temporär zu deaktivieren.
/Möglicherweise/ kann auch ein temporäres Deaktivieren des Scannens
von Archiven (ScanArchive no) diese Lücken umgehen. Dies hätte aber
auch Auswirkungen auf das Scannen von zB ZIP-Dateien.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Security Advisory von ClamAV:
https://blog.clamav.net/2023/02/clamav-01038-01052-and-101-patch.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der CERT.at GmbH
// https://cert.at/ - Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230217/a92a0e6c/attachment.sig>
More information about the Warning
mailing list