Bug 26750 – clamav: Umgehen des Virenscans (2.4)

Bug 26750 - clamav: Umgehen des Virenscans (2.4)


Summary:	clamav: Umgehen des Virenscans (2.4)

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	Security updates
Version:	UCS 2.4
Hardware:	Other Linux

Importance:	P2 normal (vote)
Target Milestone:	UCS 2.4-sec10
Assigned To:	Janek Walkenhorst
QA Contact:	Arvid Requate

URL:
Keywords:

Depends on:
Blocks:
	Show dependency tree / graph

Reported:	2012-04-10 15:36 CEST by Moritz Muehlenhoff
Modified:	2013-04-29 13:24 CEST (History)
CC List:	1 user (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Moritz Muehlenhoff

2012-04-10 15:36:28 CEST

Es wurden mehrere Verfahren entdeckt, wie einige Datenformate so manipuliert werden, dass sie von Malware-Scannern nicht geprüft werden. ClamAV ist ebenfalls betroffen:

- Zusammengefasste Tar-Archive (CVE-2012-1459)
- CHM-Dateien mit manipuliertem LZXC-Header (CVE-2012-1458)
- Manipulierte Längen-Header in Tar-Archiven (CVE-2012-1457)
- RAR-Archive (CVE-2012-1443)
- Tar-Archive mit Alias-Headern (CVE-2012-1419)

Comment 1 Moritz Muehlenhoff

2012-09-12 09:42:02 CEST

Wir sollten 0.97.5+dfsg-2 für 2.4 bauen. Es muss dabei sichergestellt werden, das die Versionsnummer kleiner ist als die Version aus 3.0-x

Das Verhalten von ClamAV bzgl. der initialen Virendatenbank hat sich geändert, vorr. muss da auch ein Fix aus 3.0-2 übernommen werden.

Comment 2 Felix Botner

2012-09-12 09:46:01 CEST

In 3.0-2 bringt univention-antivir-mail "daily.cvd" und "main.cvd" mit, so dass clamav bei der Erstinstallation startet.

Alternativ wurde ein patch für clamav getestet (3.0-0-0-ucs/0.97.5+dfsg-2-ucs3.0-2/100_bug27881_updateDatabaseInPostinst.patch.disabled), der die Datenbanken bei der Installation initial einmal runterlädt. Dieser wurde aber deaktiviert, da dies zu lange dauerte.

Comment 3 Janek Walkenhorst

2013-01-16 17:13:01 CET

Version 0.97.5+dfsg-2 gebaut, Patch für automatisches Herunterladen beim Installation übernommen. (Dies führt beim Update zu keiner Verzögerung)

Testverfahren mit amd64: OK
Changelog und next.txt angepasst.

Comment 4 Moritz Muehlenhoff

2013-03-22 12:47:23 CET

We need to update clamav to the new release:


clamav 0.97.7 fixes unspecified security issues, for which no CVE IDs have been
assigned yet:

"ClamAV 0.97.7 addresses several reported potential security bugs. Thanks to
Felix Groebert, Mateusz Jurczyk and Gynvael Coldwind of the Google Security
Team for finding and reporting these issues."

We need to update ClamAV anyway, since this release introduces a new
functionality level, i.e. newer virus signatures might require engine features
only available in 0.97.7.

Comment 5 Janek Walkenhorst

2013-04-24 18:46:59 CEST

Version 0.97.7 built
Updated changelog and next.txt

Comment 6 Janek Walkenhorst

2013-04-25 13:28:53 CEST

(In reply to comment #5)
> Version 0.97.7 built
> Updated changelog and next.txt
Tested with amd64: CLI, u-antivir-web, u-antivir-mail

Comment 7 Arvid Requate

2013-04-25 17:18:50 CEST

Verified:
 * packet update: OK
 * clamav functionality: OK
 * changelog-2.4-sec10: OK

Comment 8 Arvid Requate

2013-04-25 17:20:04 CEST

Package version is ok as well. QA was i386.