Güvenlik Açıkları: ClamAV'da Kod Kaçakçılığı ve Hizmet Reddi
Açık kaynaklı antivirüs tarayıcısı ClamAV'ın geliştiricileri, diğer şeylerin yanı sıra iki ciddi güvenlik açığını gideren üç yeni sürüm sunuyor. Ayrıca yepyeni 1.3.0 sürümü OneNote dosyaları için destek sunuyor.
Duyuru
Biçim dizesi yoluyla kaçakçılık komutu
Hem LTS 1.0.0 ila 1.0.4 sürümleri hem de ClamAV 1.2.0 ve 1.2.1, taranan bir dosyanın adının işlenmesinde ciddi sonuçlar doğuran bir hata içeriyordu. CVE ID CVE-2024-20328'e sahip güvenlik açığı, bir saldırgan tarafından ClamAV sunucusunu rastgele komutlar yürütmeye zorlamak için uzaktan kullanılabilir.
ClamAV 1.2.1 ve 1.2.2 sürümleri arasındaki karşılaştırma. 163. satırda kırmızı ile işaretlenmiştir: Potansiyel olarak kötü amaçlı dosyanın adı kontrol edilmeden benimsenmiştir.
(Resim: Haberler Güvenlik / cku)
Hata, yapılandırma yönergesinde gizlidir VirusEvent, aslında bir virüs bulunduğunda bir komutu çalıştırmayı amaçlamaktadır. Bu, yöneticiyi bilgilendirmek veya etkilenen dosyayı özel bir karantina dizinine kopyalamak için yararlı olabilir. Yönerge, yöneticinin değişkeni kullanarak dosya adını ayarlamasına olanak tanır. %f komutta – ve komutu işletim sistemine aktarmadan önce bu değişkeni kontrol etmez.
Bu hata internette ek izinler olmadan kullanılabildiğinden CVSS değerinin de buna bağlı olarak yüksek olması muhtemeldir. Ancak henüz resmi bir ciddiyet derecesi yayınlanmadı: Haberler Security, güvenlik ihlalinin… eleştirmen muhtemelen mümkün olan en yüksek CVSS değeri olan 10 ile bile sınıflandırılmıştır. Keşifçi Amit Schendel, keşfini ayrıntılı bir blog makalesinde anlatıyor.
Yukarıda belirtilen sürümlerin yanı sıra tüm 1.1 sürümleri ile 0.104 ve 0.105 sürümleri de güvenlik açığından etkilenmektedir.
ClamAV OLE2'de çöküyor
Ancak antivirüs yazılımındaki ikinci bir güvenlik açığı ClamAV'ın geride kalmasına ve çalışmayı reddetmesine neden oluyor. ClamAV 1.0.0 ila 1.0.4, 1.2.0 ve 1.2.1'in yanı sıra tüm 1.1 sürümleri de savunmasızdır.
Bunun nedeni, OLE2 verilerini içeren bir dosyayı işlemeye çalışırken yığındaki arabellek taşmasıdır. Saldırganlar bu güvenlik açığından yararlanır (CVE-2024-20290, önem derecesi “yüksek“, CVSS 7.5/10) mevcut ClamAV işlemini çökertebilir ancak komutlarınızı yürütemez.
ClamAV, 1.0.5 ve 1.2.2 sürüm numaralarına sahip hatasız sürümler yayınladı. Yöneticilerin yamaları hızlı bir şekilde uygulaması gerekiyor ancak büyük Linux dağıtımları henüz yanıt vermedi. Hala ClamAV 1.1 kullanıyorsanız, daha yeni bir sürüme yükseltme yapmalısınız, ancak güncellemeyle ilgili blog makalesinde 0.x sürümlerindeki hata düzeltmeleri hakkında tek bir kelime bile söylenmiyor.
Yepyeni 1.3.0 sürümünün güvenlik sorunlarını çözüp çözmediği de belirsiz ancak varsayım makul. ClamAV 1.3.0 ayrıca, bir yapılandırma yönergesi veya komut satırı aracılığıyla açılıp kapatılabilen OneNote eklerini de destekler. ClamAV artık kötü amaçlı yazılımlara karşı olağan .pyc uzantısıyla derlenen Python dosyalarını da kontrol edebiliyor. PyPi gibi depolarda her zaman kötü amaçlı yazılım bulunduğundan bu hoş bir eklentidir.
Cisco ürünleri de etkilendi
Geçtiğimiz yıl 20. yılını kutlayan ClamAV, Cisco liderliğinde daha da geliştiriliyor. Ağ sağlayıcısı ise ayrı bir güvenlik danışma belgesinde, hizmet reddi hatasının ürünleri üzerindeki etkileri konusunda uyarıda bulunuyor. Windows için Güvenli Uç Nokta Bağlayıcısı ve Güvenli Uç Nokta Özel Bulutları ürünü, kötü amaçlı kod içerir ve 7.5.17 ve 8.2.1 (Windows için Uç Nokta Bağlayıcısı) ve 3.8.0 (Güvenli Uç Nokta Özel Bulutu) sürümleriyle düzeltilmiştir. Cisco ayrıca yakın zamanda ürünlerindeki ek güvenlik açıklarını da yamaladı.
(cku)
Haberin Sonu