ClamAV mit DOS Schwachstelle

Kleine Info für Euch: Das „Meine Security-Software wird zum Problemfall“ Problem hat auch wieder ein Linuxopfer gefunden: ClamAV. Ok, das gibt es auch für Windows, aber ist halt das AV Programm für die OSS Welt.

CVE-2020-3123 in ClamAV

Today, we’re publishing 0.102.2. Navigate to ClamAV’s downloads page to download the release materials.

ClamAV 0.102.2 is a security patch release to address the following issues.

CVE-2020-3123: A denial-of-service (DoS) condition may occur when using the optional credit card data-loss-prevention (DLP) feature. Improper bounds checking of an unsigned variable resulted in an out-of-bounds read, which causes a crash.

Für Euch: Es crasht in einer speziellen Konfiguration beim Scannen von Kreditkarteninfo. Es handelt sich also um ein sehr spezielles Problem. Trotzdem sollte das ein Update wert sein.

Bei Fedora war bis vor einer Stunde noch nichts zu sehen, daher habe ich mal auf den Busch geklopft. Mal sehen was passiert 🙂

Update: Das Problem wurde wohl erst mit 102.0 eingebaut, insofern ist nur betroffen, wer >=102.0 einsetzt. Ist wie beim Exim 4.93 Problem, da war die Schwachstelle auch erst durch ein neues Feature eingeführt worden.

Fedora – ClamAV 0.99.3 installieren

Es kam gestern doch sehr überraschend in den Medien, daß ClamAV ein Rudel Schwachstellen hat und auf keinem normalen Weg wurde darüber informiert. Es gab weder eine Meldung über die CERTs, noch auf der Redhat Security Mailingliste. Die Schwachstelle ist so gravierend, daß auf unserer Serverfarm sämtliche ClamAVds bis zum Patch deaktiviert wurden.

Abhilfe schaffen

Derzeit gibt es in de Repos noch keine gepatchte Version, obwohl Sie bereits zur Verfügung steht. Wer den Early-Alpha-Beta-Test mitmachen will, der findet die Pakete für Fedora hier : https://koji.fedoraproject.org/

Folgende Pakete solltet Ihr dann downloaden:

clamav
clamav-data
clamav-filesystem
clamav-lib
clamav-server
clamav-update

installiert wird das dann mit „rpm -Uv /pfad/zu/den/rpms/clam*rpm„. Fertig.