Kritische Sicherheitslücken in ClamAV - Updates verfügbar

17. Februar 2023

Beschreibung

Zwei kritische Schwachstellen in ClamAV erlauben es unauthentisierten Angreifenden, beliebigen Code auszuführen.

CVE-Nummer(n): CVE-2023-20032, CVE-2023-20052

Auswirkungen

Die Lücken in ClamAV können durch präparierte HFS+ bzw. DMG Images ausgelöst werden. Da ClamAV oft als Virenscanner in Mailservern eingesetzt wird, können durch den Versand entsprechender Files per Email verwundbare Installationen kompromittiert werden.

Dies hat entsprechende Auswirkungen, vor allem auf Mailservern sind Szenarien denkbar in denen nach Kompromittierung die komplette Email-Kommunikation von Angreifenden nicht nur mitgelesen sondern auch gezielt verändert werden kann.

Es ist auch davon auszugehen, dass Angreifende zeitnah entsprechende Dateien vor allem per Spam-Email in grossem Stil verbreiten werden.

Betroffene Systeme

Systeme, auf denen ClamAV in folgenden Versionen eingesetzt wird:

  • ClamAV 0.103 vor 0.103.8
  • ClamAV 0.104
  • ClamAV 0.105 vor 0.105.2
  • ClamAV 1.0 vor 1.0.1

Abhilfe

Update auf die entsprechenden fehlerbereinigten Versionen 0.103.8, 0.105.2 oder 1.0.1.

Das ClamAV-Projekt weist weiters ausdrücklich darauf hin, dass ClamAV 0.104 nicht mehr unterstützt wird, und daher auch keine Fehlerbereinigungen für die aktuellen Schwachstellen mehr bekommen wird.

Wo ein Update noch nicht verfügbar ist, sollte angedacht werden für AV-Filterung temporär auf andere Software auszuweichen, oder AV-Filterung (mit entsprechender Awareness bei den Nutzer:innen) temporär zu deaktivieren.

Möglicherweise kann auch ein temporäres Deaktivieren des Scannens von Archiven (ScanArchive no) diese Lücken umgehen. Dies hätte aber auch Auswirkungen auf das Scannen von zB ZIP-Dateien.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Security Advisory von ClamAV:
https://blog.clamav.net/2023/02/clamav-01038-01052-and-101-patch.html