按 Enter 到主內容區
:::

TWCERT-電子報

:::

防毒軟體ClamAV三種漏洞皆能引發DoS

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-04-02
  • 點閱次數:605
防毒軟體ClamAV三種漏洞皆能引發DoS

CVE編號

CVE-2017-16932,CVE-2018-0360,CVE-2018-0361

內文

●概述:
以C語言編輯的蚌防毒軟體Clam AntiVirus(ClamAV),係思科及推廣者社群開發,開放原始碼且軟體與病毒碼免費更新,主要應用在Unix-like系統架設的mail server掃毒,也移植到Windows與Mac OS X平台,特色是能透過文字介面下運作,且非即時掃描器,但可被其他應用程式即時呼叫執行掃描,經測試ClamAV具三項弱點,均導致服務阻斷,駭客變造惡意檔案,在解析HWP文件時可觸發parsehwp3_paragraph( )函數之整數溢位,造成無限迴圈;而解析特製PDF物件時,恐因過度耗時而擱置全部程序;另在Windows環境內parser.c程式演算法無法防止參數entity產生無限遞迴,目前已推出升級版改善上述缺陷。
●編註:
(1)因libxml2函式庫2.9.5以前版本內parser.c程式演算法有瑕疵,無法防止參數entity發生無限遞迴現象,而ClamAV對libxml2有依存性,故受parser.c瑕疵波及,然僅限Windows環境之ClamAV受影響。
(2)副檔名為.hwp之檔案,其性質為韓國Hancom公司之文字處理應用程序所建立開啟之文件,即是Hangul Word Processor(HWP) file,Hangul就是諺文,乃朝鮮自古傳下的自造通俗文字,兩韓稱之為 한글 與 조선글 。
而ClamAV之libclamav函式庫內hwp.c程式碼,有段parsehwp3_paragraph( )函數遇到特製HWP文件檔,因解析過程出錯,導致整數溢位,使ClamAV進入無限迴圈狀態。
(3)囿於缺乏對PDF物件長度檢查機制,即便在解析一個很小的惡意PDF檔案,仍會觸發錯誤,致使處理時間久到不合理,ClamAV所有程序均擱置,形同DoS。

影響產品

clamav 0.100.0以前版本

解決辦法

參考http://www.clamav.net/downloads ,下載clamav 0.100.1軟體與數位簽章之壓縮檔。
回頁首