Desbordamiento de búfer en ClamAV

Se ha anunciado la existencia de una vulnerabilidad en ClamAV, que podría llegar a explotarse por usuarios maliciosos para provocar denegaciones de servicio e incluso llegar a comprometer un sistema vulnerable.

ClamAV es un motor antivirus de código abierto, empleado con cierta frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria.

La vulnerabilidad reside concretamente en Freshclam, una utilidad de línea de comandos responsable de la descarga e instalación de las actualizaciones de firmas de virus. Una de sus características es un cliente HTTP que realiza descargas de archivos desde servidores web. La vulnerabilidad se debe a un desbordamiento de búfer en dicho cliente http cuando recibe cabeceras que exceden de 8 KB.

La explotación exitosa requiere que se use Freshclam para descargar firmas de virus desde un servidor web espejo malicioso por ejemplo mediante envenenamiento DNS. Según el propio aviso de seguridad de ClaAv el problema no es fácil de explotar, debido a la diversidad de arquitecturas y plataformas cliente.

La vulnerabilidad de ha confirmado en las versiones 0.80 hasta la 0.88.1. Se ha publicado la versión 0.88.2 que corrige el problema y se encuentra disponible para descarga desde: http://prdownloads.sourceforge.net/clamav/clamav-0.88.2.tar.gz?download