2019-1775: ClamAV: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-08-26 14:35)

Neues Advisory

Version 2 (2019-10-02 17:30)

Canonical stellt Sicherheitsupdates von 'clamav' für Ubuntu 16.04 LTS, 18.04 LTS und 19.04 zur Verfügung, um die Schwachstellen zu beheben.

Version 3 (2019-10-04 17:02)

Canonical stellt korrespondierend zu USN-4146-1 Sicherheitsupdates für 'clamav' für Ubuntu 12.04 ESM und Ubuntu 14.04 ESM zur Verfügung, um die Schwachstellen zu beheben.

Version 4 (2019-10-10 15:57)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate von 'clamav' bereit, um die Schwachstellen zu schließen.

Version 5 (2019-10-14 17:02)

Das mit DLA 1953-1 veröffentlichte Sicherheitsupdate führte zu Berechtigungsproblemen auf '/var/run/clamav'. Dies verursachte bei einer Reihe von Anwendern Probleme beim Neustarten des 'clamav'-Daemons. Diese Regression wird für Debian 8 Jessie (LTS) mit Version 0.101.4+dfsg-0+deb8u2 behoben.

Version 6 (2019-11-26 10:52)

Für SUSE Linux Enterprise Module for Basesystem 15 und 15 SP1 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'clamav' bereit.

Version 7 (2019-11-26 18:19)

Für SUSE Enterprise Debuginfo 11 SP3 und SP4, SUSE Openstack Cloud 7, 8 und 8 Crowbar, SUSE Enterprise Storage 5, SUSE Linux Enterprise Desktop 12 SP4 sowie SUSE Linux Enterprise Server 11 SP4 LTSS und 12 SP1 LTSS, SP2 BCL / LTSS, SP3 BCL / LTSS, SP4, SP5, for SAP 12 SP1, SP2 und SP3 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Version 8 (2019-12-02 09:58)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'clamav' bereit.

Version 9 (2019-12-02 15:56)

Für die Distribution openSUSE Leap 15.1 wird ein Sicherheitsupdate für 'clamav' zur Behebung der beiden referenzierten Schwachstellen und eines weiteren, nicht sicherheitsrelevanten Fehlers zur Verfügung gestellt.

Betroffene Software

Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und die Durchführung eines Denial-of-Service (DoS)-Angriffs (rekursive Zip-Bombe).

Der Hersteller stellt ClamAV 0.101.4 als Sicherheitsupdate zur Behebung der Schwachstellen bereit.

Die Zip-Bomben-Schwachstelle, für die zwischenzeitlich CVE-2019-12625 vergeben wurde, war bereits mit ClamAV 0.101.3 adressiert worden, allerdings wurde ein Workaround zur Umgehung der ursprünglichen Mitigation gefunden, weshalb nun eine Begrenzung der Scan-Zeit als weitere Mitigation eingeführt wurde.

Für Fedora 29 und 30 sowie Fedora EPEL 7 und 8 stehen Sicherheitsupdates in Form von 'clamav-0.101.4-1'-Paketen im Status 'testing' bzw. 'stable' (Fedora 30) bereit, um diese Schwachstellen zu beheben.

Schwachstellen:

CVE-2019-12625

Schwachstelle in ClamAV ermöglicht Denial-of-Service-Angriff

CVE-2019-12900

Schwachstelle in bzip2 ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.