Clam ha lanzado un nueva actualización de su popular antivirus, ClamAV, que subsana varios problemas de seguridad encontrados y que podrían ser aprovechados por un atacante local o remoto para causar una denegación de servicio o ejecutar código arbitrario con los privilegios del proceso afectado.

ClamAV es un motor antivirus de código abierto muy popular en el mundo dnel software libre, empleado con frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria y que además permite el escáner en busca de virus en paquetes binarios Portables Ejecutables (PE).

* La primera vulnerabilidad está causada por un desbordamiento de búfer basado en heap en la función cli_scanpe() en libclamav/pe.c debido a un chequeo insuficiente de límites al manejar ciertos archivos Portables Ejecutables (PE files).

* La segunda vulnerabilidad está causada por un error en la función unmew11() en libclamav/mew.c al procesar ciertos archivos, lo que podría dar lugar a una corrupción de memoria basada en heap.

Debido a las dos vulnerabilidades, al iterar a través de las secciones contenidas en los archivos PE se extraen varios valores controlados por el creador del archivo. En cada iteración se realizan operaciones aritméticas sin tener en cuenta el envoltorio de 32 bits de enteros. Esto podría ser aprovechado por un atacante remoto, por medio de un archivo binario PE especialmente manipulado, para hacer que la aplicación deje de responder (denegación de servicio) o ejecutar código arbitrario gracias a una corrupción de memoria.

Las vulnerabilidades anteriormente citadas, están confirmadas para todas las versiones de ClamAV anteriores a la 0.92.1 aunque el módulo vulnerable fue deshabilitado el día 11 de Enero de 2008 por medio de una de las actualizaciones periódicas de la base de datos de virus.

Se recomienda actualizar a Clam AntiVirus (ClamAV) versión 0.92.1, disponible para su descarga desde:
http://www.clamav.net/
http://sourceforge.net/projects/clamav/

Pablo Molina
pmolina@hispasec.com

Más información:

Clam AntiVirus: File Release Notes and Changelog
http://sourceforge.net/project/shownotes.php?release_id=575703

ClamAV libclamav PE File Integer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=658

Compártelo: