lunes, 24 de mayo de 2010

Denegación de servicio a través de archivos PDF y ejecutables en ClamAV 0.x

ClamAV ha publicado una actualización que corrige dos vulnerabilidades en su motor antivirus ClamAV 0.x que permiten a un atacante hacer que motor deje de responder si se envían ciertos ficheros especialmente manipulados.

ClamAV es un motor antivirus de código abierto muy popular en el mundo del software libre, empleado con frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria. En el verano de 2007 el proyecto fue comprado por la compañía Sourcefire, aunque el programa no ha sufrido sustanciales cambios desde entonces.

De forma resumida las vulnerabilidades son las siguientes:

* Un fallo en la función cli_pdf de la librería libclamav/pdf.c podría permitir a un atacante hacer que el programa deje de responder si se envía un fichero PDF especialmente manipulado.

* Un error en la función parseicon de la librería libclamav/pe_icons.c al procesar iconos PE (portables ejecutable). Si un atacante envía un fichero ejecutable con un icono especialmente manipulado, el escáner podría dejar de responder.

Se recomienda actualizar a la última versión 0.96.1. disponible desde
http://www.clamav.net/download/.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Bug 2016 - pdf crash
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=2016

Bug 2031 - icon: invalid read
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=2031

No hay comentarios:

Publicar un comentario en la entrada