ClickCease RCE-Schwachstelle in der Open-Source-Antiviren-Software ClamAV gefunden

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

RCE-Schwachstelle in der Open-Source-Antiviren-Software ClamAV gefunden

Februar 28, 2023 - TuxCare PR Team

Forscher haben eine kritische Schwachstelle für Remote Code Execution (RCE) in einer beliebten Software-Bibliothek entdeckt, die von einer Vielzahl von Anwendungen genutzt wird. Die Sicherheitslücke CVE-2023-20032 (CVSS-Score: 9.8) besteht im HFS+-Partitionsdateiparser verschiedener Versionen von ClamAV, einem kostenlosen, plattformübergreifenden Antimalware-Toolkit, das von Cisco Talos betreut wird. Keine der Schwachstellen wird jedoch aktiv ausgenutzt.

"Diese Schwachstelle ist auf eine fehlende Überprüfung der Puffergröße zurückzuführen, die zu einem Heap-Pufferüberlauf führen kann. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine manipulierte HFS+-Partitionsdatei zum Scannen durch ClamAV auf einem betroffenen Gerät einreicht. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, beliebigen Code mit den Rechten des ClamAV-Scan-Prozesses auszuführen oder den Prozess zum Absturz zu bringen, was zu einem Denial-of-Service (DoS)-Zustand führt", erklärte Cisco.

Das Problem wird durch Remotecodeausführung in der HFS+-Dateiparser-Komponente verursacht. Die Versionen 1.0.0 und früher, 0.105.1 und früher sowie 0.103.7 und früher sind alle betroffen. Der Fehler wurde vom Google-Sicherheitsingenieur Simon Scannell entdeckt und gemeldet.

Um sie auszunutzen, müssen sich Angreifer zunächst gültige Benutzeranmeldeinformationen verschaffen. Sobald sie dies jedoch getan haben, können sie die Schwachstellen nutzen, um ihre Rechte auf Root zu erhöhen und beliebige Befehle auf einem betroffenen Gerät auszuführen. Ein Proof-of-Concept-Exploit für beide Schwachstellen ist verfügbar, allerdings ist unklar, ob er online ist oder nicht.

Bei der anderen Schwachstelle, CVE-2023-20052 (CVSS-Score 5.3), handelt es sich um eine XML External Entity (XXE)-Injektion, die durch das Einreichen von manipulierten DMG-Dateien zum Scannen ausgelöst werden kann, was zu einem Byte-Leck in den von ClamAV gelesenen Dateien führt. Secure Endpoint (früher Advanced Malware Protection, AMP), Secure Endpoint Private Cloud und Secure Web Appliance sind ebenfalls betroffene Cisco-Produkte (früher Web Security Appliance).

Die Produkte Secure Email Gateway (ehemals Email Security Appliance) und Secure Email and Web Manager (ehemals Security Management Appliance) sind von der Sicherheitslücke nicht betroffen.

Cisco hat inzwischen Updates herausgegeben, die die Schwachstelle beheben, sowie Patches für hochgradig gefährliche Probleme in der Nexus Dashboard Software und im Secure Email Gateway.

Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.

Zusammenfassung
RCE-Schwachstelle in der Open-Source-Antiviren-Software ClamAV gefunden
Artikel Name
RCE-Schwachstelle in der Open-Source-Antiviren-Software ClamAV gefunden
Beschreibung
In einer beliebten Software-Bibliothek, die von einer Vielzahl von Anwendungen genutzt wird, wurde eine kritische Schwachstelle für Remote Code Execution (RCE) entdeckt.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter