Múltiples vulnerabilidades en ClamAV

SeguridadVirus

Los administradores de ClamAV tienen, nuevamente, trabajo pendiente. Se trata de la segunda actualización del año, tras haberse publicado el pasado 9 de enero la última actualización del motor a la versión 0.88.

El equipo de analistas de seguridad de Debian en EEUU ha detectado tres vulnerabilidades en el producto, que confieren un carácter de altamente crítico a la suma de los fallos detectados.

ClamAV es un motor antivirus de código abierto, empleado con cierta frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria.

El desarrollador Damian Put ha verificado que existe un desbordamiento de búfer en el parser de cabeceras PE “libclamav/pe.c” únicamente explotable cuando está desactivada la directiva de tamaño máximo de archivo ArchiveMaxFileSize.

Adicionalmente, se ha comprobado que en el código de autenticación presente en “shared/output.c” hay algunas erratas en las cadenas de formato, que podrían, en condiciones no detalladas, la ejecución de código arbitrario.

Por último, David Luyer ha descubierto que la función cli_bitset_set() ubicada en “libclamav/others.c” permite provocar un acceso no válido a memoria, lo que podría ser aprovechado por un atacante para denegar el servicio en la máquina vulnerable.

Tras una inspección del “Changelog”, los desarrolladores han paliado otros problemas. Algunos son, por ejemplo, el soporte al actualizador de ClamAV “freshclam” para LocalIPAddress, modificaciones para la detección de Worm.Bagle.CT, cambios en “libclamav/matcher.c” para gestionar adecuadamente lecturas parciales de la función cli_scandesk(), un cambio menor en el valor de retorno de vsnprintf en “shared/output.c”, así como correcciones ante la posibilidad de colapso en la función build() de “sigtool/sigtool.c”. Los usuarios FreeBSD ven finalmente atendidas demandas anteriores al corregirse un problema en “libclamav/zziplib” que provocaba el colapso del motor bajo ciertas condiciones de operación del servicio.

Todos los fallos documentados quedan resueltos con la versión 0.88.1, la cual puede ser obtenida, como es habitual, en el servidor de descargas de ClamAV.net, que enlaza a la página del proyecto alojada en Sourceforge.

Habida cuenta de la criticidad del problema, instamos a los administradores de soluciones ClamAV actualicen con la máxima premura. A efectos de verificación de integridad, la suma MD5 del paquete clamav-0.88.1.tar.gz es 9fe8c47037051e350077513dd94fb76a. Si se opta por verificar con SHA-1, la suma resultante es 8205cb0f3ab5e625ada1413fc6cdcc6c9ee77691.