Risques
- Contournement de la politique de sécurité
- Déni de service
Systèmes affectés
ClamAV versions 0.80 et antérieures.
Résumé
Deux vulnérabilités dans ClamAV permettent à un utilisateur mal intentionné de contourner la politique de sécurité ou de réaliser un déni de service sur la plate-forme vulnérable.
Description
ClamAV est un logiciel libre permettant d'analyser des fichiers à la
recherche de virus. Il est souvent utilisé pour détecter les éventuels
virus contenus dans les messages arrivant sur un serveur de
messagerie.
Une vulnérabilité dans le traitement des entêtes de certains fichiers
(archives au format ZIP) permet à un utilisateur mal intentionné, par le
biais d'une archive habilement constituée, de provoquer un arrêt brutal
du service.
Une seconde vulnérabilité dans le traitement des URL contenant une image
encodée au format base64 permet à un utilisateur mal intentionné de
contourner la politique de sécurité en créant un fichier qui va échapper
à l'analyse de ClamAV.
Solution
Mettre à jour ClamAV en version 0.81.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Gentoo GLSA 200501-46 http://www.gentoo.org/security/en/glsa/glsa-200501-46.xml
- Annonce de la sortie de la version 0.81 de ClamAV : http://sourceforge.net/forum/forum.php?forum_id=440649
- Bulletin de sécurité Mandrake MDKSA-2005:025 du 31 janvier 2005 : http://www.mandrakesoft.com/security/advisories?name=MDKSA-2005:025
- Mise à jour de sécurité du paquetage NetBSD clamav : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/mail/clamav/README.html
- Site Internet de ClamAV : http://www.clamav.net
