Clam AntiVirus - Zwei Schwachstellen

rudy

rudy

aint no stoppin us now
Hallo Forum,

an alle Nutzer des ClamAV hier im Forum

Ueberschrift:
Clam AntiVirus - Zwei Schwachstellen

Warnstufe:
Kritisch

Auswirkungen:
unbekannt

Angriffsweg(e):
von extern

Software:
Clam AntiVirus (clamav) 0.x

Beschreibung:
Zwei Schwachstellen mit unbekannten Auswirkungen werden fuer Clam AntiVirus
bestaetigt.

1) Ein nicht naeher spezifiziertes Leck bei einem File Descriptor existiert in
der der Datei "libclamav/chmunpack.c".

2) Ein nicht naeher spezifizierter Fehler in der Datei "libclamav/cab.c" laesst
sich fuer einen Pufferueberlauf ausnutzen.

Loesung:
Aktualisieren auf Version 0.90.2.

Original Security-Report:
http://sourceforge.net/project/shownotes.php?release_id=500765

Gemeldet von:
Reported by the vendor.
 
Na da hat der wer den Security Newsletter von tecChannel aboniert :)
Der im übrigen sehr zu empfehlen ist.
 
marzl schrieb:
Na da hat der wer den Security Newsletter von tecChannel aboniert :)
Der im übrigen sehr zu empfehlen ist.
Zum Vergrößern anklicken....

Hallo marzl :)

Und nicht nur den :) , weil möchte halt Nutzer von unixoiden Betriebssystemen aber nicht ausschliesslich für Sicherheitsaspekte/fragen sensibiliesieren......

Auch werde ich euch in Zukunft auf Sicherheitslöcher/ angriffsmöglichkeiten etc. aufmerksam machen die wir im Projekt festgestellt haben...

Allerdings werde ich hier keinen Quellcode veröffentlichen, ich hoffe Ihr versteht das !

LG der rudy
 
Ist der Feed von securityfocus.com nicht schnellerr?
Wenn man software aus den ports oder aus pkgsrc hat, dann gibt's außerdem Dinge, wie audit-packages.

Ich will nichts schlecht machen, aber reicht das nicht?

Athaba, lässt sich gerne etwas besseren belehren :)
 
Athaba schrieb:
Ist der Feed von securityfocus.com nicht schnellerr?
Wenn man software aus den ports oder aus pkgsrc hat, dann gibt's außerdem Dinge, wie audit-packages.

Ich will nichts schlecht machen, aber reicht das nicht?

Athaba, lässt sich gerne etwas besseren belehren :)
Zum Vergrößern anklicken....

Hallo Athaba,

also bei der Vielzahl von Angeboten, kann ich Dir eigentlich keine qualifizierte Antwort geben was da genau jetzt schneller ist...
Aber bin da vollkommen aufgeschlossen und dankbar für jede konstruktive Kritik, auch sind die audit-packages immer eine gute Idee könnte mann/frau ja mal ne Umfage starten wer die hier im Forum so alles nutzt...

Am schnellsten an Informationen kommt mann/frau auch durch Mitarbeit in Projekten wie Trusted BSD oder wie im meinen Fall Metasploit...

Zur Zeit teste ich gerade auch wenn das jetzt vielleicht offtopic ist die google maps Seite weil da gibt es Doch jede Menge Dinge die mich sehr stören...

Habe auch schon ne Mail an google rausgejagt, Hintergrund ist ein anderer Thread hier im Forum....

Will mal nicht zuviel sagen aber eines doch das google maps überhaupt nicht auf validierung gecheckt wurde, soviel ich weiss ( habe das auf Deiner Page gelesen) interesierst Du Dich doch sehr auch für Validierung...

Insofern gesehen ermöglichen solche nicht Validierungskonforme oder voll von Validierungsfehlern behafteten Seiten geradezu die Möglichkeiten des XSS scriptings denke aber dazu das ich Dir hier nichts neues erzähle und gehe mal davon aus das wir hier dacore sind..

So vielleicht sollte man wirklich mal auf BSD Foren also eine diesbezügliche Umfrage starten und einen Thread eröffnen...

Also Seiten auf Validierungsfehler testen kann eigentlich jeder hier, besonders leicht macht das einem zum Beispiel der Oprera Browser 9.20 mit dem man jede Webseite im Kontext Menue überprüfen kann....

So jetzt bin ich schon etwas offtopic geworden falls Du Lust hast können wir ja über PM weiter das Thema und andere ( anonymes Surfen, https, abhören von verschlüsselten Seiten usw.. usf....) diskutieren...

LG der rudy
 
Zuletzt bearbeitet:
Ich habe mal vor Ewigkeiten einen Thread zu einem Programm gemacht, das so ähnlich wie audit-packages ist und mehrere Quellen haben kann.[1]

Bei der Validierung sind wir uns einig. Für den Programmierer selbst, der vielleicht auch eine anderssprachige Beschreibung zu den Fehlern haben will ist übrigens Validome[2] ein ausgezeichneter Validator und auch sonst eine gute Informationsquelle.

Ich ziehe immer wieder gerne den Vergleich (X)HTML zu (einer sehr einfachen) Programmiersprache. Ein Code der beim Kompilieren oder meinetwegen auch während des Laufens dermaßen viele Errors ausspucken würde, würde wohl kaum verwenden (okay, es gibt Ausnahmen, ala Windows *g*).

Neben den Gründen, dass ich Browserhersteller eigentlich entlasten will (XHTML sollte eigentlich einfacher darzustellen sein) und den Fortschritt und die Arbeit des des W3C unterstützen will geht es mir auch sehr darum möglichst jeden erreichen zu können und niemanden auszugrenzen. Ich verwende XHTML 1.1: Fortschritt! und endlich mal ein Punkt, bei dem man nicht explizit auf Abwärtskompatibilität achtet. Trotzdem sollte meine Seite sogar in Uraltbrowsern, die noch nie von XML gehört haben relativ gut darstellbar sein. Wenn das erfüllt ist, dann kann ich mich endlich den wichtigen Dingen widmen, nämlich den WAI[3]. Wenn ich so weit erzählt habe, dann werden meistens die ersten Rufe laut, dass das so viel Arbeit ist.

Das stimmt überhaupt nicht. Ich bin echt faul und noch viel fauler, wenn es um Dinge rund um den Bereich Programmierung geht. Ich verbringe die meiste Zeit damit Tippfehler zu finden und diese Seite ist meine erste echte[4] Website. Aber das Internet ist voll mit leicht findbaren Minianleitungen und die Spezifikationen (von denen die Meisten auch übersetzt sind), sind sehr einfach zu lesen und es gibt SELFHTML, das man in Sekunden durchsucht hat und die Validatoren sind alle einfach und und hilfsbereit.
Ich bin meilenweit Entfernt vom Webdesigner, aber es kann ja für diesen nicht so schwer sein mit einem Vielfachen von meinem Wissen und meiner Erfahrung zumindest eine validierbare 4.01 Transitional Website zu machen. Jetzt kommt mir nicht mit dynamischen Seiten. Klar kann es einen Teil der Arbeit erschweren, aber dafür nimmt es Einem auch einiges an Arbeit ab. Ich habe schon einige Seiten für Leute, die irgendein uralt HTML (teilweise mit Frontpage/Word gemacht) verwendet haben auf XHTML umgestellt und das nur zum Spaß. Wenn dann ein Webdesigner kommt, der dafür (hoch) bezahlt wird und meint. Das geht nicht, ist zu schwer und dauert zu lang, dann ist das echt niederschmetternd.

Oops, das war schon wieder so viel Off Topic. Sorry!

Securityfocus hat die Meldung meist sehr rasch und deshalb meinte ich, dass das zusammen mit einem mit 'nem Feed-Reader die Reaktionszeit vom bekannt werden der Lücke bis zum Fix durch den Administrator verringern könnte.

Athaba

[1] Der hier: https://www.bsdforen.de/showthread.php?t=16496
[2] http://www.validome.org
[3] http://www.w3.org/WAI/
[4] Ich habe mich vor Jahren mal mit dem Dreamwaver gespielt und Tabellen mit Bildchen gemacht. Eben das, wenn man das erste mal einen WYSIWYG-Editor findet bzw. das, was man mit 'nem Office als Kind so anstellt. ;)
 
Hi rudy,

ich kann mich da nur meinem Vorredner anschliessen, laut Cert gab es z.B. in 2005 an die 2328 Linux/Unix Vulnerabilities.

Ich weiss ned wie sinnvoll das, ist dass alles hier zu posten.

Gruesse,

madcode
 
madCode schrieb:
Hi rudy,

ich kann mich da nur meinem Vorredner anschliessen, laut Cert gab es z.B. in 2005 an die 2328 Linux/Unix Vulnerabilities.

Ich weiss ned wie sinnvoll das, ist dass alles hier zu posten.

Gruesse,

madcode
Zum Vergrößern anklicken....

Hallo madCode,

was spricht den dagegen auf Sicherheitslöcher hinzuweisen, veröffentliche ja keine Payloads oder Shellcodes und werde auch keine Quelltexte liefern...
Auch verweisse ich nicht auf Adressen oder schreibe Dokus zu wie hacke ich ein Open BSD in 3 Minuten..

Also denke Sicherheit sollte jeden interesieren schliesslich benutzt mann ja auch in manchen Gelegenheiten ein Kondom oder...

LG rudy
 
Hi rudy,

dann musst Du der Gemeinde auch mit der Loesung helfen finde ich.

Ich denke xBSD waere ok fuer das Forum hier.

Gruesse,

madcode
 
Es ging mehr nicht um's hinweisen, sondern darum alle Berichte zu kopieren.
Die Information ist ja vorhanden und wenn man sie im Forum haben will, dann gibt's sicher ein Plugin um den Feed einzufügen.
Um nicht nur Kritik auszuüben mache ich den Vorschlag die Information zu bündeln.
Man könnte Beispielsweise die vorhin angesprochenen Feeds anzapfen und somit schnell Informationen bereitstellen.

Ich meine das so:
Man macht die Quellen, die solche Informationen bereitstellen ausfindig und lässt sie in eine Webportal einfließen. Da es CVE gibt könnte man dise Filtern und auf der Seite zusammengefügt anzeigen lassen. Wenn jemand den Bericht von Feed XY haben will klickt er auf den Link dorthin. Der Vorteil ist der, dass man die Information hat sobald mindestens eine Quelle diese geliefert hat und man nicht alle Seiten durchsuchen/kennen muss.

Nur ein Beispiel. Ich glaube das bringt mehr, als eine Kopie der Information.
So ein Portal hätte wohl auch Nutzen für andere Dinge, als Sicherheitslücken.
Könnte man ja open source machen :)

Athaba
 
madCode schrieb:
Hi rudy,

dann musst Du der Gemeinde auch mit der Loesung helfen finde ich.

Ich denke xBSD waere ok fuer das Forum hier.

Gruesse,

madcode
Zum Vergrößern anklicken....

Hallo madCode :)

da ist was dran,werde das gerne machen wie gesagt bin aufgeschlossen gegenüber jeder Anregung und konstruktiver Kritik...

LG der rudy
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben