Se han encontrado múltiples vulnerabilidades en Clam AntiVirus que podrían ser aprovechadas por un atacante remoto, o por ciertas muestras de malware, para causar una denegación de servicio o ejecutar código en un sistema vulnerable.
ClamAV es un motor antivirus de código abierto muy popular en el mundo del software libre, empleado con frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria.
Las vulnerabilidades se basan en una gestión potencialmente peligrosa de archivos binarios comprimidos con distintas herramientas.
* Según su descubridor, el investigador Alin Rad Pop, la primera vulnerabilidad está causada por un error de límites en la función cli_scanpe(), incluida en libclamav/pe.c. Esto podría ser aprovechado para causar un desbordamiento de memoria intermedia basado en heap por medio de un ejecutable especialmente manipulado, empaquetado con Upack. Un atacante remoto, podría hacer que la aplicación dejase de responder (denegación de servicio) o ejecutar código arbitrario.
* La segunda vulnerabilidad, descubierta por iDefense, está causada por un error de límites al procesar los PE empaquetados con el protector de ejecutables PeSpin. Esto podría ser aprovechado para casar un desbordamiento de memoria intermedia basado en pila, permitiendo la ejecución arbitraria de código.
* La tercera vulnerabilidad está causada por un error no especificado al procesar archivos ARJ especialmente manipulados que podrían causar que ClamAV dejara de responder. El archivo concreto que provoca la denegación de servicio viene incluido en un paquete de archivos creados especialmente por CERT-FI para detectar este tipo de problemas.
* IDefense ha reportado una cuarta vulnerabilidad similar a las anteriores que causada en este caso por un fallo al procesar los archivos PE binarios empaquetados con el compresor de ejecutables WWPack.
En la nueva versión se han añadido además mejoras en el manejo de archivos comprimidos y de distintos formatos, y también se han realizado modificaciones en los módulos unzip, SIS, cabinet, CHM y SZDD de las que no se han publicado detalles.
Las vulnerabilidades (tres de ellas calificadas como críticas) están confirmadas para la versiones 0.92 y 0.92.1 de Clam AntiVirus por lo que se recomienda actualizar a la nueva versión (ClamAV 0.93) tan pronto como sea posible. Se puede descargar desde:
http://www.clamav.net/
http://sourceforge.net/projects/clamav/
pmolina@hispasec.com
Deja un comentario