Graves vulnerabilidades en Clam Antivirus

clamav

Comenta el compañero Julio en el blog del laboratorio Hispasec que se han detectado dos importantes fallos de seguridad en ClamAV.

Clam Antivirus es un juego de herramientas antivirus para UNIX, liberado según licencia GPL, cuyo propósito fundamental es la integración con servidores de correo para el escaneo de ficheros adjuntos. Se le dan más aplicaciones, pero ClamAV está pensado para eso. El demonio es multihilo, el escáner es de línea de comandos y contempla una herramienta de actualización automática vía Internet. La base de datos de firmas está actualizada siempre, si bien tampoco son las más eficientes ni las más tempranas en modificarse. Aún así, los resultados en servidores son más que satisfactorios.

Los dos problemas diagnosticados son los siguientes:

  1. Un error en «libclamav/upx.c» podría ser potencialmente explotado para causar desbordamiento de búfer a la hora de procesar ficheros ejecutables con compresión UPX especialmente malformados.
  2. Un error en «libclamav/fsg.c» podría inducir al demonio a entrar en un bucle infinito, cuando procesa ficheros ejecutables con compresión FSG especialmente ensamblados.

La versión 0.87 corrige este problema. Las anteriores, son vulnerables. Los detalles están especificados en la release note correspondiente. El asunto me recuerda al problema acontecido en una versión anterior, comentado en este mismo blog, comentado allá por el mes de julio. La explotación de dichos problemas podría conducir a la ejecución de denegación de servicio y el potencial compromiso de la máquina donde corra ClamAV.

Si tienes curiosidad, comenté una vez cómo securizar un servidor de correo Linux, empleando entre otras herramientas, ClamAV. También hablé de Maildroid, para instalar pasarelas de correo seguras, enfocado a OpenBSD.

Un saludo.