Vigil@nce - ClamAV : contournement via CHM, RAR, TAR
mars 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut créer une archive, contenant un virus qui n’est
pas détecté par ClamAV.
Gravité : 1/4
Date création : 21/03/2012
PRODUITS CONCERNÉS
– Clam AntiVirus
DESCRIPTION DE LA VULNÉRABILITÉ
Les outils d’extraction d’archives acceptent d’extraire des
archives légèrement malformées. Cependant, ClamAV ne détecte pas
les virus contenus dans ces archives.
Une archive TAR contenant "[aliases]" dans les 9 premiers
caractères contourne la détection. [grav:1/4 ; BID-52572,
CVE-2012-1419]
Une archive RAR contenant "MZ" dans les 2 premiers caractères
contourne la détection. [grav:1/4 ; BID-52612, CVE-2012-1443]
Une archive TAR avec une taille trop grande contourne la
détection. [grav:1/4 ; BID-52610, CVE-2012-1457]
Un fichier d’aide CHM avec un entête contenant une faible valeur
"interval" contourne la détection. [grav:1/4 ; BID-52611,
CVE-2012-1458]
Une archive TAR avec un entête contenant une valeur trop grande
contourne la détection. [grav:1/4 ; BID-52623, CVE-2012-1459]
Un attaquant peut donc créer une archive contenant un virus qui
n’est pas détecté par l’antivirus, mais qui est extrait par les
outils d’extraction. Le virus est ensuite détecté une fois qu’il a
été extrait sur le poste de la victime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/ClamAV-contournement-via-CHM-RAR-TAR-11467