LINUX.ORG.RU

Отказ в обслуживании в Clam AntiVirus


0

0

программа: Clam AntiVirus версии до 0.86
опасность: Средняя
наличие эксплоита: Есть
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании системы.
1. Утечка памяти возможна в функции cli_scanszdd() файла 'libclamav/scanners.c'. Удаленный пользователь может создать специально сформированный архив, который, при обработке антивирусов, заставит приложение использовать все доступные дескрипторы или потребит все ресурсы на системе. Посылка более 100 подобных файлов вызовет отказ в обслуживании системы.
2. Макрос ENSURE_BITS() в файле 'libclamav/mspack/mszipd.c' некорректно обрабатывает данные заголовков CAB файлов. Удаленный пользователь может послать специально сформированный CAB файл с cffile_FolderOffset, установленным в 0xff, и вызвать зацикливание приложения.

>>> Подробности



Проверено: Demetrio ()

Вспоминается: "Купил собаку, что бы стерегла дачу, потом переехал на дачу, что бы не спёрли собаку..." ;-)

atrus ★★★★★
()
Ответ на: комментарий от atrus

Такова жизнь, вообще-то... Слегка отклоняясь от темы, в реальной жизни твой анекдот довольно часто встречается.. Так что, ничего удивительного.. надеюсь, скоренько поправят.. ;-)

MiracleMan ★★★★★
()
Ответ на: комментарий от MiracleMan

а я принципиально не пользуюсь антивирями. У меня стоит брандмаэур, Серфу вэб исключительно посредством розеток. Вплоть до того, что и в ирце и в аське socks4/5 + SSL. Люблю патчить ядра. (вот сейчас 2.6.13-rc1-mm1). И обновляю FireFox (nightbuilds) не каждый день конечно, но по мере разумного. =)

BSDobermann
()
Ответ на: комментарий от BSDobermann

Ну и молодец.. ;-)) Лично для себя.. я в них тоже не нуждаюсь.. но для некоторых пользователей особо дырявых систем время от времени приходиться настраивать защиту..

MiracleMan ★★★★★
()
Ответ на: комментарий от MiracleMan

Если есть samba, то антивирус нужон. Неужели никто винты чужие не подключает?! ;-) Я имею ввиду домашнюю машину.

Serega_S
()
Ответ на: комментарий от BSDobermann

Да дома его смысла особого имхо нет ставить (под лином), а вот на сервера почтовые и файловые приходиттся...

anonymous
()
Ответ на: комментарий от anonymous

111

Действительно. А стоит ли держать дома антивирус который лечит не умеет? Это на препдриятие массивы есть, а дома... ;)

etopigdec32
()
Ответ на: 111 от etopigdec32

>> Действительно. А стоит ли держать дома антивирус который лечит не умеет? Это на препдриятие массивы есть, а дома... ;)

Эту новость я выкидывал в свет не для домашних пользователей, а для владельцев почтовых серверов, которые не всегда с каждой новой вышешедшей версией апгрейдятся (и это правильно). Своеобразную критическую точку доапгрейда поставили хакеры.

Zloban
() автор топика
Ответ на: комментарий от BSDobermann

засекаем как на этот раз протормозят дебианщики. кстати вчерась был первый апдейт spamassassin. первый за месяц по-моему.

anonymous
()
Ответ на: комментарий от BSDobermann

Какая низкая самооценка! "Малолетний выродок" - это твои же слова о себе любимом. Да...

anonymous
()

спасибо апдейтимся до 0.86.1 а апдей то давно вышел...

mar1ner
()
Ответ на: комментарий от BSDobermann

>> Но тогда тебе надо писать эта новость только для админов.

Эта новость для тех, кто пользуется Clamav. Ты вообще никакими антивирями не пользуешься. Какие у тебя возникли вопросы? Скучно стало? Поговорить не с кем?

Zloban
() автор топика
Ответ на: комментарий от anonymous

>засекаем как на этот раз протормозят дебианщики. кстати вчерась был первый апдейт spamassassin. первый за месяц по-моему.

третий, до него были crip и sudo

thand
()
Ответ на: комментарий от thand

У них проблема с инфраструктурой была (ftp-master) переезжал. Может сейчас начнуть заделывать - я буквально на днях кидал по drupal-у им ссылку на security hole в ем. Поглядим.

villain
()
Ответ на: комментарий от villain

дебианщикам с clamav тяжко им придется.я то пока поставил из unstalble, а что делать тем кто на stable с functionality level 4 до сих пор? freshclam ругаеццо. наверное даже какие-то типы вирусов пропускает. как вообще кошерно это будет жить?при появлении новых типов вирусов кламав не долго думая выпустит новый functionality level, неужто секурити тим будет делать патч серьезно расширающий функциональность к древнему кламаву 0.84?

anonymous
()
Ответ на: комментарий от anonymous

>>Уязвимость позволяет удаленному пользователю вызвать отказ в >>обслуживании системы. >>1. Утечка памяти возможна в функции cli_scanszdd() файла >>'libclamav/scanners.c'. Удаленный пользователь может создать >>специально сформированный архив, который, при обработке антивирусов, >>заставит приложение использовать все доступные дескрипторы или >>потребит все ресурсы на системе. Посылка более 100 подобных файлов >>вызовет отказ в обслуживании системы. ну это у кого вызовет отказ в _системе_, а у кого нет. лично у меня все юзеры в ресурсах ограничены...

idoreallyhatespam
()
Ответ на: комментарий от anonymous

>то есть твой clamav аварийно завершится и почта вообще перестанет ходить

Если админ с руками и головой, то он и эту ситуацию заранее продумает. Есть утилита clamping, которая проверяет работу clamd и возвращает статус, если он упадет, то скрипт, который вызывает clamping и проверяет статус, с легкостью перезапустит clamd. Ах да, все это дергается из cron'а....:) Кстати, есть еще ситуация, когда clamd не запустится из-за битой, например, базы, то тут заменяется конфиг и шлется гневное письмо админу, оно вообще должно всегда слаться в таких ситуациях, но как было сказано выше, это работает только у тех, у кого голова не только для пожрать...

McMCC ★★★
()
Ответ на: комментарий от McMCC

чет у меня на почте в 10 писем/мин кламав вообще ниразу не падал. я лузер? впрочем использовать я его начал с того момента как drweb не мог разпознавать вирус с запароленым архивом, с версий эдак 0.6x, к тому времени он был достаточно стабилен.

если так рассуждать скоро нужно будет еще раз в минуту запускать скрипт проверяющий а не побился ли inittab например и цел ли libc.

anonymous
()
Ответ на: комментарий от anonymous

>чет у меня на почте в 10 писем/мин кламав вообще ниразу не падал. я лузер?
>впрочем использовать я его начал с того момента как drweb не мог
>разпознавать вирус с запароленым архивом, с версий эдак 0.6x, к тому
>времени он был достаточно стабилен.
>если так рассуждать скоро нужно будет еще раз в минуту запускать скрипт
>проверяющий а не побился ли inittab например и цел ли libc.

Когда у вас будет 10 писем не в минуту, а в секунду, тогда и поговорим...
Хотя, мне бы ваши проблемы...:))))

McMCC ★★★
()
Ответ на: комментарий от McMCC

елы-палы описание уязвимости вышло вслед за выходом 0.86.1 версии.
че флейм то разводить, а "кто неспрятался, я невиноват" ;-)

Ruwa
()
Ответ на: комментарий от McMCC

ночной понедельничный спам иногда прет с 10 /секунду, это я среднюю месячную нагрузку привел по памяти, которая,кстати, сейчас до 30 писем/мин подросла.

на тестах я пробовал и 50 в секунду но там уже спамотсосин не дает разогнаться.

я понимаю что у меня не слишком то большая нагрузка, но неужели мой случай еще не показатель надежности?

anonymous
()
Ответ на: комментарий от Ruwa

>елы-палы описание уязвимости вышло вслед за выходом 0.86.1 версии. >че флейм то разводить, а "кто неспрятался, я невиноват" ;-)

ды за дебиан обидно, у них там версия за 30 апреля.

anonymous
()
Ответ на: комментарий от anonymous

>я понимаю что у меня не слишком то большая нагрузка, но неужели мой
>случай еще не показатель надежности?

Никто про надежность не спорит, но ситуации падения clamav имеют место,
поэтому нужно перестраховываться, если не хотите остановку почты.
Начиная с версии 0.83, clamav работает стабильно, но до этого, у меня
лично, случаи падения clamav'а были, благодаря тому, что вовремя была
прикручена система проверки работы clamav, остановки почты небыло.

McMCC ★★★
()
Ответ на: комментарий от anonymous

>А что за clamping такой? Название незнакомое что-то... И в дистре ее >нет :)

Вломы искать.. Дарю свой:))

 #include <stdio.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <unistd.h>
#include <sys/socket.h>
#include <sys/un.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <netdb.h>
#include <string.h>

#ifdef PF_INET
# define SOCKET_INET    PF_INET
#else
# define SOCKET_INET    AF_INET
#endif

int main(int argc, char *argv[])
{
        char buff[4096];
        struct sockaddr_un server;
        int sockd, check = 0;
        FILE *fd;

        if(!argv[1]) {
            printf("\nUse %s <sock_path>\n\n", argv[0]);
            exit (3);
        }

        server.sun_family = AF_UNIX;
        strncpy(server.sun_path, argv[1], sizeof(server.sun_path));

        if((sockd = socket(AF_UNIX, SOCK_STREAM, 0)) < 0)
            return 2;

        if(connect(sockd, (struct sockaddr *) &server, 
                        sizeof(struct sockaddr_un)) < 0)
        {
            close(sockd);
            return 2;
        }


    if(write(sockd, "PING", 4) <= 0) {
        close(sockd);
        return 2;
    }

    if((fd = fdopen(sockd, "r")) == NULL) {
        close(sockd);
        return 2;
    }


    while(fgets(buff, sizeof(buff), fd))
        if(strstr(buff, "PONG\n"))
            check++;

    fclose(fd);

    if(!check)
        return 1;

    return 0;
}

McMCC ★★★
()
Ответ на: комментарий от McMCC

спасибо :)
элегантно...
правда еще желательно обнулять структуру перед заполнением и коннектом
кстати, в дистре нашел аж 2 программы для мониторинга, одна на перле, другая на сях.
все равно спасибо :)

anonymous
()
Ответ на: комментарий от McMCC

>> но ситуации падения clamav имеют место,

Гыы, а у дибилочка постоянно после портапграйд.

Zloban
() автор топика
Ответ на: комментарий от anonymous

>правда еще желательно обнулять структуру перед заполнением и коннектом
>кстати

Да не обязательно это, это же не деман...:)

McMCC ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.