2018-1336: ClamAV: Mehrere Schwachstellen ermöglichen Denial-of-Service-Angriffe

Historie:

Version 1 (2018-07-10 14:34): Neues Advisory
Version 2 (2018-07-25 12:11): Canonical veröffentlicht Sicherheitsupdates für Ubuntu 18.04 LTS, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS, mit denen die Schwachstellen in ClamAV behoben werden. Die Schwachstelle CVE-2017-16932 wurde für Ubuntu Linux bereits in früheren Sicherheitsupdates adressiert.
Version 3 (2018-07-26 11:07): Canonical stellt jetzt ebenfalls für Ubuntu 12.04 ESM ein Sicherheitsupdate für ClamAV zur Verfügung. Mit diesem werden die Schwachstellen CVE-2018-0360 und CVE-2018-0361 behoben, da auch für Ubuntu 12.04 ESM die Schwachstelle CVE-2017-16932 bereits mit einem früheren Sicherheitsupdate adressiert wurde.
Version 4 (2018-07-27 11:53): Canonical informiert darüber, dass die Sicherheitsupdates USN-3722-1 und USN-3722-2 Regressionen eingeführt haben, die mit den aktualisierten Paketen, siehe USN-3722-3 und USN-3722-4, adressiert werden. Aufgrund der Regression kann der Daemon in Umgebungen, in denen eine manuell editierte ClamAV Konfigurationsdatei genutzt wird, nicht mehr gestartet werden, da ungewollt Konfigurationsoptionen entfernt wurden.
Version 5 (2018-08-07 18:18): Für SUSE Linux Enterprise Server 11 SP3 LTSS und 11 SP4, Debuginfo 11 SP3 und 11 SP4 sowie SUSE Linux Enterprise Module for Basesystem 15 stehen Sicherheitsupdates für clamav auf Version 0.100.1 bereit, um die Schwachstellen CVE-2018-0360 und CVE-2018-0361 zu beheben.
Version 6 (2018-08-09 11:59): openSUSE veröffentlicht für die Distribution openSUSE Leap 15.0 ein Sicherheitsupdate auf die ClamAV Version 0.100.1, um die Schwachstellen CVE-2018-0360 und CVE-2018-0361 sowie zwei nicht sicherheitsrelevante Fehler zu beheben.
Version 7 (2018-08-21 17:12): Debian stellt für Jessie 8.11 (oldstable) ein Sicherheitsupdate auf die ClamAV Version 0.100.1 zur Behebung der Schwachstellen CVE-2018-0360 und CVE-2018-0361 zur Verfügung.
Version 8 (2018-09-18 13:43): Canonical veröffentlicht ein neues Update für 'clamav', da es beim vorigen Update USN-3722-1 zu einem Problem gekommen ist, durch das 'dpkg-reconfigure' in eine Endlosschleife geraten konnte.
Version 9 (2018-09-18 14:56): Canonical veröffentlicht das neue Update für 'clamav' jetzt auch für Ubuntu 12.04 LTS (ESM), um die aufgetretene Regression zu beheben.

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in ClamAV ermöglichen einem entfernten, nicht authentisierten Angreifer unter Verwendung manipulierter Dateien die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.

ClamAV stellt ein offizielles Update in der Version 0.100.1 zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2017-16932

Schwachstelle in LibXML2 ermöglicht Denial-of-Service-Angriff

CVE-2018-0360

Schwachstelle in ClamAV ermöglicht Denial-of-Service-Angriff

CVE-2018-0361