UPDATE: DFN-CERT-2015-0117 ClamAV: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe und das Ausführen beliebigen Programmcodes [Linux][Fedora][SuSE][Unix][AIX][FreeBSD][Apple][Solaris][Windows]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 7 (08.12.2015):
Für SUSE Linux Enterprise Desktop 12 und Server 12 stehen
Sicherheitsupdates bereit, die Schwachstelle CVE-2013-6497 wird von diesen
allerdings nicht referenziert.
Version 6 (17.02.2015):
openSUSE stellt für die Distributionen SUSE Linux Enterprise Server 10 SP4
LTSS, 11 SP1 LTSS, 11 SP2 LTSS, 11 SP3, 11 SP3 for VMware und Desktop 11
SP3 Sicherheitsupdates auf die ClamAV Version 0.98.6 zur Verfügung.
Version 5 (16.02.2015):
openSUSE stellt für die Distributionen openSUSE 13.1 und 13.2
Sicherheitsupdates zur Verfügung. openSUSE ist von der Schwachstelle
CVE-2013-6497 nicht betroffen. Fedora und Ubuntu hatten zwar die
Schwachstellen CVE-2015-1461, CVE-2015-1462 und CVE-2015-1463 seinerzeit
nicht gelistet, die Sicherheitsupdates für die betreffenden Distributionen
bestanden aber ebenfalls in einem Update auf ClamAV 0.98.6.
Version 4 (13.02.2015):
Ubuntu stellt jetzt auch für die Distribution 10.04 LTS ein
Sicherheitsupdate auf die aktuelle ClamAV Version 0.98.6 zur Verfügung,
welche auch die ältere Schwachstelle CVE-2013-6497 behebt.
Version 3 (03.02.2015):
Ubuntu stellt für die Distributionen 12.04 LTS, 14.04 LTS und 14.10
Sicherheitsupdates auf die ClamAV Version 0.98.6 zur Verfügung.
Version 2 (02.02.2015):
Für die Distributionen Fedora 20 und Fedora 21 sowie für Fedora EPEL 5,
EPEL 6 und EPEL 7 stehen Sicherheitsupdates auf ClamAV 0.98.6 zur
Verfügung.
Version 1 (28.01.2015):
Neues Advisory

Betroffene Software:

ClamAV < 0.98.6 Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 10.04 Lts Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 FreeBSD GNU/Linux HP-UX family of operating systems HP openvms IBM AIX Microsoft Windows openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 10 SP4 LTSS SUSE Linux Enterprise Server 11 SP1 LTSS SUSE Linux Enterprise Server 11 SP2 LTSS SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 VMware SUSE Linux Enterprise Server 12 Oracle Solaris Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Mehrere Schwachstellen in ClamAV vor Version 0.98.6 ermöglichen einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen oder beliebigen Programmcode auszuführen. Patch: ClamAV Download-Webseite http://www.clamav.net/download.html

Patch:

Fedora Security Update FEDORA-2015-1437

https://admin.fedoraproject.org/updates/FEDORA-2015-1437/clamav-0.98.6-1.fc20

Patch:

Fedora Security Update FEDORA-2015-1461

https://admin.fedoraproject.org/updates/FEDORA-2015-1461/clamav-0.98.6-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2015-0551

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0551/clamav-0.98.6-1.el7

Patch:

Fedora Security Update FEDORA-EPEL-2015-0557

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0557/clamav-0.98.6-1.el6

Patch:

Fedora Security Update FEDORA-EPEL-2015-0559

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0559/clamav-0.98.6-1.el5

Patch:

Ubuntu Security Notice USN-2488-1

http://www.ubuntu.com/usn/usn-2488-1/

Patch:

Ubuntu Security Notice USN-2488-2

http://www.ubuntu.com/usn/usn-2488-2/

Patch:

openSUSE Security Update openSUSE-SU-2015:0285-1

http://lists.opensuse.org/opensuse-updates/2015-02/msg00063.html

Patch:

SUSE Security Update SUSE-SU-2015:0298-1

http://lists.opensuse.org/opensuse-security-announce/2015-02/msg00020.html

Patch:

SUSE Security Update SUSE-SU-2015:0291-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150291-1.html

CVE-2015-1463: Schwachstelle in ClamAV ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in ClamAV vor Version 0.98.6 ermöglicht, durch eine
kleine gepackte Datei, das Ausnutzen einer inkorrekten Compiler-Optimierung,
die zu einem Absturz des Prozesses führt. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2015-1462: Schwachstelle in ClamAV ermöglicht das Ausführen beliebigen
Programmcodes

Eine Schwachstelle in ClamAV vor Version 0.98.6 ermöglicht, durch nicht
näher beschriebene Aktionen mit Hilfe von präparierte upx-gepackten Dateien,
einen Heap-Out-of-bounds-Zustand herbeizuführen. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode ausführen.

CVE-2015-1461: Schwachstelle in ClamAV ermöglicht das Ausführen beliebigen
Programmcodes

Eine Schwachstelle in ClamAV vor Version 0.98.6 ermöglicht, durch nicht
näher beschriebene Aktionen mit Hilfe von präparierten (1) Yoda’s crypter
oder (2) mew packer Dateien, einen Heap-Out-of-bounds-Zustand
herbeizuführen. Ein entfernter, nicht authentifizierter Angreifer kann
beliebigen Programmcode ausführen.

CVE-2014-9328: Heap-Out-of-bounds-Schwachstelle in ClamAV

Eine Schwachstelle in ClamAV kann beim Scannen von “upack packer”-Dateien zu
einem Heap-Out-of-bounds-Zustand führen, wenn ClamAV als
Mail-Gateway-Scanner verwendet wird. Die Schwachstelle kann mittels einer
speziell präparierten “upack packer”-Datei ausgenutzt werden.

CVE-2013-6497: Speicherverwaltungsfehler in ClamAV ermöglicht
Denial-of-Service-Angriff

Die Benutzung des Programms clamscan mit dem Argument “-a” und einer
unbekannten Eingabe führen zu einer Speicherschutzverletzung und dem Absturz
des Programms. Ein lokaler, nicht angemeldeter Benutzer kann diese
Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0117/

Schwachstelle CVE-2013-6497 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6497

ClamAV Download-Webseite:
http://www.clamav.net/download.html

ClamAV Security Advisory ClamAV-ADV-2015-01-27:
http://lurker.clamav.net/message/20150127.232443.27bcc068.en.html

ClamAV Security Blog ClamAV Release 0.98.6:
http://blog.clamav.net/2015/01/clamav-0986-has-been-released.html

Schwachstelle CVE-2014-9328 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9328

Fedora Security Update FEDORA-2015-1437:
https://admin.fedoraproject.org/updates/FEDORA-2015-1437/clamav-0.98.6-1.fc20

Fedora Security Update FEDORA-2015-1461:
https://admin.fedoraproject.org/updates/FEDORA-2015-1461/clamav-0.98.6-1.fc21

Fedora Security Update FEDORA-EPEL-2015-0551:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0551/clamav-0.98.6-1.el7

Fedora Security Update FEDORA-EPEL-2015-0557:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0557/clamav-0.98.6-1.el6

Fedora Security Update FEDORA-EPEL-2015-0559:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0559/clamav-0.98.6-1.el5

Ubuntu Security Notice USN-2488-1:
http://www.ubuntu.com/usn/usn-2488-1/

Schwachstelle CVE-2015-1461 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1461

Schwachstelle CVE-2015-1462 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1462

Schwachstelle CVE-2015-1463 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1463

Ubuntu Security Notice USN-2488-2:
http://www.ubuntu.com/usn/usn-2488-2/

openSUSE Security Update openSUSE-SU-2015:0285-1:
http://lists.opensuse.org/opensuse-updates/2015-02/msg00063.html

SUSE Security Update SUSE-SU-2015:0298-1:
http://lists.opensuse.org/opensuse-security-announce/2015-02/msg00020.html

SUSE Security Update SUSE-SU-2015:0291-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150291-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.