検出

ClamAV < 0.95.2の複数のスキャン回避脆弱性

medium Nessus プラグイン ID 39437

Language:

概要

リモートのウイルス対策サービスが、ファイルスキャン回避攻撃に脆弱です。

説明

バージョンによると、リモートホストのclamdウイルス対策デーモンのバージョンは 0.95.2 より前です。そのようなバージョンは、報告によれば、以下の複数のスキャン回避の脆弱性の影響を受けます:

 - 攻撃者が、特別に細工された「CAB」、「RAR」、または「ZIP」アーカイブに悪意のあるコードを埋め込むことにより、ウイルス対策の検出をバイパスする可能性があります。

 -「libclamav/mbox.c」での問題により、攻撃者がUTF-16でエンコードされたメールを送信することで、ウイルス対策検出をバイパスする可能性があります。

 -「libclamav/readdb.c」での問題により、拒否する必要がある特定の署名が、検出をバイパスする可能性があります。

ソリューション

ClamAV 0.95.2 または以降にアップグレードしてください。

参考資料

http://blog.zoller.lu/2009/05/advisory-clamav-generic-bypass.html

https://seclists.org/bugtraq/2009/Jun/170

https://bugzilla.clamav.net/show_bug.cgi?id=1573

https://bugzilla.clamav.net/show_bug.cgi?id=1615

プラグインの詳細

深刻度: Medium

ID: 39437

ファイル名: clamav_0_95_2.nasl

バージョン: 1.20

タイプ: remote

ファミリー: Misc.

公開日: 2009/6/17

更新日: 2018/11/15

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus

リスク情報

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: cpe:/a:clamav:clamav

必要な KB アイテム: Settings/ParanoidReport, Antivirus/ClamAV/version

エクスプロイトの容易さ: No known exploits are available

参照情報

BID: 35398, 35410, 35426