[Warning] Kritische Sicherheitslücken in ClamAV - Updates verfügbar

Robert Waldner waldner at cert.at
Fri Feb 17 14:24:58 CET 2023 

17. Februar 2023

Beschreibung

    Zwei kritische Schwachstellen in ClamAV erlauben es
    unauthentisierten Angreifenden, beliebigen Code auszuführen.

    CVE-Nummer(n): CVE-2023-20032, CVE-2023-20052

Auswirkungen

    Die Lücken in ClamAV können durch präparierte HFS+ bzw. DMG Images
    ausgelöst werden. Da ClamAV oft als Virenscanner in Mailservern
    eingesetzt wird, können durch den Versand entsprechender Files per
    Email verwundbare Installationen kompromittiert werden.

    Dies hat entsprechende Auswirkungen, vor allem auf Mailservern sind
    Szenarien denkbar in denen nach Kompromittierung die komplette
    Email-Kommunikation von Angreifenden nicht nur mitgelesen sondern
    auch gezielt verändert werden kann.

    Es ist auch davon auszugehen, dass Angreifende zeitnah entsprechende
    Dateien vor allem per Spam-Email in grossem Stil verbreiten werden.

Betroffene Systeme

    Systeme, auf denen ClamAV in folgenden Versionen eingesetzt wird:
    - ClamAV 0.103 vor 0.103.8
    - ClamAV 0.104
    - ClamAV 0.105 vor 0.105.2
    - ClamAV 1.0 vor 1.0.1

Abhilfe

    Update auf die entsprechenden fehlerbereinigten Versionen 0.103.8,
    0.105.2 oder 1.0.1.

    Das ClamAV-Projekt weist weiters ausdrücklich darauf hin, dass
    ClamAV 0.104 nicht mehr unterstützt wird, und daher auch keine
    Fehlerbereinigungen für die aktuellen Schwachstellen mehr bekommen
    wird.

    Wo ein Update noch nicht verfügbar ist, sollte angedacht werden für
    AV-Filterung temporär auf andere Software auszuweichen, oder AV-
    Filterung (mit entsprechender Awareness bei den Nutzer:innen)
    temporär zu deaktivieren.

    /Möglicherweise/ kann auch ein temporäres Deaktivieren des Scannens
    von Archiven (ScanArchive no) diese Lücken umgehen. Dies hätte aber
    auch Auswirkungen auf das Scannen von zB ZIP-Dateien.

Hinweis

    Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
    dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
    Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

    Security Advisory von ClamAV:
    https://blog.clamav.net/2023/02/clamav-01038-01052-and-101-patch.html

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der CERT.at GmbH
// https://cert.at/ - Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20230217/a92a0e6c/attachment.sig>

More information about the Warning mailing list