----------------------------SPOT--------------------------
SERVICIOS ANTIPHISHING y ANTITROYANOS DE HISPASEC SISTEMAS

Hispasec Sistemas ofrece sus servicios antifraude, antiphishing y
antitroyanos, dirigidos a entidades bancarias y sitios de comercio
electrónico.

Más información en:
http://www.hispasec.com/corporate/antiphishing.html

info@hispasec.com Telf. 902 161 025 ----------------------------SPOT--------------------------

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 16/04/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Múltiples vulnerabilidades en ClamAV por la gestión de ejecutables comprimidos
------------------------------------------------------------------------------

Se han encontrado múltiples vulnerabilidades en Clam AntiVirus que
podrían ser aprovechadas por un atacante remoto, o por ciertas muestras
de malware, para causar una denegación de servicio o ejecutar código en
un sistema vulnerable.

ClamAV es un motor antivirus de código abierto muy popular en el mundo
del software libre, empleado con frecuencia en servidores de correo
derivados de UNIX a modo de defensa perimetral primaria.

Las vulnerabilidades se basan en una gestión potencialmente peligrosa de archivos binarios comprimidos con distintas herramientas.

* Según su descubridor, el investigador Alin Rad Pop, la primera
vulnerabilidad está causada por un error de límites en la función
cli_scanpe(), incluida en libclamav/pe.c. Esto podría ser aprovechado
para causar un desbordamiento de memoria intermedia basado en heap por
medio de un ejecutable especialmente manipulado, empaquetado con Upack.
Un atacante remoto, podría hacer que la aplicación dejase de responder (denegación de servicio) o ejecutar código arbitrario.

* La segunda vulnerabilidad, descubierta por iDefense, está causada por
un error de límites al procesar los PE empaquetados con el protector de ejecutables PeSpin. Esto podría ser aprovechado para casar un
desbordamiento de memoria intermedia basado en pila, permitiendo la
ejecución arbitraria de código.

* La tercera vulnerabilidad está causada por un error no especificado al procesar archivos ARJ especialmente manipulados que podrían causar que
ClamAV dejara de responder. El archivo concreto que provoca la
denegación de servicio viene incluido en un paquete de archivos creados especialmente por CERT-FI para detectar este tipo de problemas.

* IDefense ha reportado una cuarta vulnerabilidad similar a las
anteriores que causada en este caso por un fallo al procesar los
archivos PE binarios empaquetados con el compresor de ejecutables
WWPack.

En la nueva versión se han añadido además mejoras en el manejo de
archivos comprimidos y de distintos formatos, y también se han realizado modificaciones en los módulos unzip, SIS, cabinet, CHM y SZDD de las que
no se han publicado detalles.

Las vulnerabilidades (tres de ellas calificadas como críticas) están confirmadas para la versiones 0.92 y 0.92.1 de Clam AntiVirus por lo que
se recomienda actualizar a la nueva versión (ClamAV 0.93) tan pronto
como sea posible. Se puede descargar desde:
http://www.clamav.net/
http://sourceforge.net/projects/clamav/

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3462/comentar

Más información

Announcing ClamAV 0.93 http://lurker.clamav.net/message/20080414.161123.ba784ba8.en.html

Upack Buffer Overflow Vulnerability https://www.clamav.net/bugzilla/show_bug.cgi?id=878

ClamAV libclamav PeSpin Heap Overflow Vulnerability http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=686

ARJ: Sample from CERT-FI hangs clamav https://www.clamav.net/bugzilla/show_bug.cgi?id=897

ClamAV libclamav PE WWPack Heap Overflow Vulnerability http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=687

CERT-FI and CPNI Joint Vulnerability Advisory on Archive Formats https://www.cert.fi/haavoittuvuudet/joint-advisory-archive-formats.html


Pablo Molina
pmolina@hispasec.com


Tal día como hoy:
-----------------

16/04/2007: Escalada de privilegios a través de ficheros no especificados en Adobe ColdFusion MX 7.x
http://www.hispasec.com/unaaldia/3096

16/04/2006: Denegación de servicio en sh de Sun Solaris 8, 9 y 10
http://www.hispasec.com/unaaldia/2731

16/04/2005: Vulnerabilidades en el Kernel de Windows
http://www.hispasec.com/unaaldia/2366

16/04/2004: Denegación de servicio en Macromedia ColdFusion MX 6.1
http://www.hispasec.com/unaaldia/2000

16/04/2003: Vulnerabilidades criptográficas en Kerberos v4
http://www.hispasec.com/unaaldia/1634

16/04/2002: Microsoft Baseline Security Analyzer
http://www.hispasec.com/unaaldia/1269

16/04/2001: Lotus Domino afectado por múltiples denegaciones de servicio
http://www.hispasec.com/unaaldia/904

16/04/2000: SECURMATICA 2000
http://www.hispasec.com/unaaldia/537

16/04/1999: Bruselas estudia cómo pinchar Internet
http://www.hispasec.com/unaaldia/171


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)