Vigil@nce : ClamAV, contournement via CAB RAR ZIP
juin 2009 par Vigil@nce
Un attaquant peut créer une archive CAB/RAR/ZIP contenant un virus qui n’est pas détecté par ClamAV.
Gravité : 2/4
Conséquences : transit de données
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 2
Date création : 16/06/2009
PRODUITS CONCERNÉS
– Clam AntiVirus
DESCRIPTION DE LA VULNÉRABILITÉ
L’antivirus ClamAV détecte les virus contenus dans les archives
CAB/RAR/ZIP. Cependant, un attaquant peut créer une archive
malformée, qui peut toujours être ouverte par les outils
d’extraction, mais que l’antivirus ne peut pas ouvrir.
Les outils Winrar, Winzip et 7-Zip cherchent le magic header (par
exemple "PK" pour un fichier ZIP) dans les 50000 premiers octets
d’un fichier. Cependant, ClamAV cherche uniquement le magic header
dans les premiers octets d’un fichier RAR/ZIP, et ne décompresse
donc pas le fichier infecté pour le vérifier. [grav:2/4]
Lorsqu’un fichier CAB indique une taille incorrecte, ClamAV ne le
scanne pas. [grav:2/4 ; TZO-43-2009]
Un attaquant peut donc créer une archive CAB/RAR/ZIP contenant un
virus qui n’est pas détecté par ClamAV.
CARACTÉRISTIQUES
Références : BID-35398, BID-35410, BID-35426, TZO-40-2009,
TZO-43-2009, VIGILANCE-VUL-8799
http://vigilance.fr/vulnerabilite/ClamAV-contournement-via-CAB-RAR-ZIP-8799