Bug 19770 - Множественные ошибки безопасности: CVE-2008-6680, CVE-2009-1241, CVE-2009-1270, CVE-2009-1371, CVE-2009-1372
: Множественные ошибки безопасности: CVE-2008-6680, CVE-2009-1241, CVE-2009-127...
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/clamav)
: unstable
: all Linux
: P3 blocker
Assigned To:
:
: http://secunia.com/advisories/34566
: security
:
:
  Show dependency tree
 
Reported: 2009-04-25 21:48 by
Modified: 2009-07-22 10:06 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2009-04-25 21:48:27
В clamav обнаружены несколько ошибок:

CVE-2008-6680 - libclamav/pe.c in ClamAV before 0.95 allows remote attackers to
cause a denial of service (crash) via a crafted EXE file that triggers a
divide-by-zero error.

CVE-2009-1241 - Unspecified vulnerability in ClamAV before 0.95 allows remote
attackers to bypass detection of malware via a modified RAR archive.

CVE-2009-1270 - libclamav/untar.c in ClamAV before 0.95 allows remote attackers
to cause a denial of service (infinite loop) via a crafted TAR file that causes
(1) clamd and (2) clamscan to hang.

CVE-2009-1372 - Stack-based buffer overflow in the cli_url_canon function in
libclamav/phishcheck.c in ClamAV before 0.95.1 allows remote attackers to cause
a denial of service (application crash) and possibly execute arbitrary code via
a crafted URL.

CVE-2009-1371 - The CLI_ISCONTAINED macro in libclamav/others.h in ClamAV
before 0.95.1 allows remote attackers to cause a denial of service (application
crash) via a malformed file with UPack encoding.

Upstream выпустил исправление в виде новой версии 0.95.1
------- Comment #1 From 2009-06-13 22:25:45 -------
ping, уже 0.95.2.

2 asy: часом не собираешь для себя?
------- Comment #2 From 2009-06-22 09:06:35 -------
Собираю. У Виктора есть проблема, связанная с выкладыванием в Сизиф:

From: Victor Forsyuk <force@altlinux.org>
Date: 17/04/09 18:45

> А что с ClamAV в Сизифе ? Я попробовал собрать 0.95.1 собрался без проблем.

А чего б там быть проблемам. Соберется, конечно. Но на libclamav завязано энное
количество програм в репозитарии, а тут очередная смена сонейма. Так как раньше
собирать уже не дадут (с контролируемыми временными анметами). Делать финты с
libclamav-compat - изврат абсолютный. 

А сесть за изучение gitарной сборки - нет пока ни времени, ни сил.
------- Comment #3 From 2009-06-22 15:27:12 -------
2 Victor: давай я пособираю, пока у тебя руки до git дойдут ?
------- Comment #4 From 2009-07-20 14:48:05 -------
(In reply to comment #2)
> From: Victor Forsyuk <force@altlinux>
> А сесть за изучение gitарной сборки - нет пока ни времени, ни сил.
2 force: дёргай, чем смогу -- помогу.
------- Comment #5 From 2009-07-22 09:18:59 -------
0.95.2-alt1 в Сизифе. Фух...
------- Comment #6 From 2009-07-22 10:06:40 -------
(В ответ на комментарий №5)
> 0.95.2-alt1 в Сизифе. Фух...

поздравляю всех :)

p.s. подозреваю, что в ближайшее время будет ещё один релиз. :)