Gravité : 2/4

Conséquences : transit de données

Provenance : document

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 2

Date création : 16/06/2009

PRODUITS CONCERNÉS

– Clam AntiVirus

DESCRIPTION DE LA VULNÉRABILITÉ

L’antivirus ClamAV détecte les virus contenus dans les archives
CAB/RAR/ZIP. Cependant, un attaquant peut créer une archive
malformée, qui peut toujours être ouverte par les outils
d’extraction, mais que l’antivirus ne peut pas ouvrir.

Les outils Winrar, Winzip et 7-Zip cherchent le magic header (par
exemple "PK" pour un fichier ZIP) dans les 50000 premiers octets
d’un fichier. Cependant, ClamAV cherche uniquement le magic header
dans les premiers octets d’un fichier RAR/ZIP, et ne décompresse
donc pas le fichier infecté pour le vérifier. [grav:2/4]

Lorsqu’un fichier CAB indique une taille incorrecte, ClamAV ne le
scanne pas. [grav:2/4 ; TZO-43-2009]

Un attaquant peut donc créer une archive CAB/RAR/ZIP contenant un
virus qui n’est pas détecté par ClamAV.

CARACTÉRISTIQUES

Références : BID-35398, BID-35410, BID-35426, TZO-40-2009,
TZO-43-2009, VIGILANCE-VUL-8799

http://vigilance.fr/vulnerabilite/ClamAV-contournement-via-CAB-RAR-ZIP-8799