Kritiek lek in virusscanner ClamAV maakt remote code execution mogelijk
De makers van de gratis opensource-virusscanner ClamAV hebben een belangrijke beveiligingsupdate uitgebracht die onder andere een kritieke kwetsbaarheid verhelpt waardoor remote code execution mogelijk is. Een aanvaller zou zo via de antivirussoftware het systeem kunnen overnemen. Het probleem is aanwezig in de HFS+ parser van de virusscanner.
Door ClamAV een speciaal geprepareerde HFS+ partitie te laten scannen kan een heap buffer overflow write ontstaan en kan een aanvaller willekeurige code met rechten van de ClamAV-scanner op het systeem uitvoeren. De impact van de kwetsbaarheid, aangeduid als CVE-2023-20032, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het beveiligingslek is aanwezig in ClamAV 1.0.0 en eerder, versie 0.105.1 en eerder en versie 0.103.7. Gebruikers wordt aangeraden om te updaten naar ClamAV 0.103.8, 0.105.2 of 1.0.1.
Als je een systeem volledig wilt scannen MOET je root rechten hebben anders kan je heel veel files nooit benaderen.
Ik heb de oude kwetsbare versie meteen van het systeem (Ubuntu) verwijderd.
Eerst de oude versie opgezocht met Synaptic Pakketbeheer en de versie volledig verwijderd.
Daarna de nieuwe .deb versie in de downloadmap gedownload en via right-click geinstalleerd op het systeem.
ClamTk is de interface en die kan men laten staan.
In Synaptic Pakketbeheer nakijken of de nieuwe versie inderdaad is geinstalleerd.
Eventueel virusdefinities bijwerken en klaar.
DMG disk image file (de standaard om software of vaak wat dan ook voor de mac rond te sturen) met HFS+ file systeem.
Als je een systeem volledig wilt scannen MOET je root rechten hebben anders kan je heel veel files nooit benaderen.
ClamAV kan ook gebruikt worden op een mailserver die mail attachements scant (zoals een zipfile met een HFS+ partitie).
ClamAV hoeft dus helemaal niet als root draaien in alle omstandigheden.
Tuurlijk, veel veiliger om geen virusscanner te gebruiken, tis maar net hoe je het bekijkt.
woensdag 26 augustus 2015, 17:32 door Redactie, 10 reacties
Videostreamingdienst Netflix heeft besloten om geen anti-virussoftware meer op de computers van personeel te installeren. Het contract dat het bedrijf met een anti-virusbedrijf had is opgezegd. "Anti-virus is dood", zo laat een beveiligingsarchitect van Netflix tegenover zakenblad Forbes weten.
Gelukkig wordt er niet door iedereen zo over gedacht.
Je kop in het zand steken is zeker de oplossing voor alles.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
