Vigil@nce : ClamAV, contournement via RAR
avril 2009 par Vigil@nce
Un attaquant peut créer une archive RAR contenant un virus qui
n’est pas détecté par ClamAV.
– Gravité : 2/4
– Conséquences : transit de données
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 02/04/2009
PRODUITS CONCERNÉS
– Clam AntiVirus
DESCRIPTION DE LA VULNÉRABILITÉ
L’antivirus ClamAV supporte les archives au format RAR.
Une archive RAR indique la taille qui sera occupée par son contenu
lorsqu’il sera décompressé ("uncompressed size").
Cependant, si cette taille est très grande, ClamAV n’analyse pas
le contenu de l’archive. Les éventuels virus qu’elle contient ne
sont donc pas détectés.
Un attaquant peut donc créer une archive RAR contenant un virus
qui n’est pas détecté par ClamAV.
CARACTÉRISTIQUES
– Références : BID-34344, CVE-2009-1241, TZO-05-2009,
VIGILANCE-VUL-8595
– Url : http://vigilance.fr/vulnerabilite/ClamAV-contournement-via-RAR-8595
Pour modifier vos préférences email (fréquence, seuil de gravité, format) :
https://vigilance.fr/?action=2041549901&langue=1