Total Security - totalsecurity.com.br
Falha encontrada em vários anti-vírus
Em produtos de vários anti-vírus de fabricantes conhecidos foi encontrada uma falha de programação que pode permitir o travamento de um computador. Produtos da Network Associates, Trend Micro, Kaspersky Lab e Amavis estão afetados, de acordo com um alerta da empresa de segurança alemã AERAsec.
Os softwares anti-vírus possuem uma rotina interna de descompressão de arquivos para permitir a análise em busca de vírus em arquivos compactados. A AERAsec reportou que as rotinas de descompressão dos softwares das empresas citadas não parecem conseguir manejar adequadamente arquivos conhecidos como bzip2-bombs, ou bombas bzip2, já conhecidos a algum tempo. Estes arquivos consistem em arquivos com uma grande repetição do mesmo caractere, de forma que, segundo o boletim da AERAsec, um arquivo de 1,5kB pode ter ao ser descomprimido 2Gb.
O problema é que os antívirus aparentemente trabalham com limites de níveis de diretório, mas não controlam tamanho do arquivo nem tem algum código para detecção de situações anômalas.
Isto pode levar a várias consequências, resultando em um ataque de negação de serviço no anti-vírus. Já que a maioria dos softwares antivírus armazenam os arquivos descomprimidos no sistema de arquivos locais (por exemplo, em /tmp), pode ocorrer preenchimento do espaço livre em disco, cuja consequência direta é o travamento do processo de escaneamento do anti-virus e até mesmo o travemento do sistema. Além disso, durante o processo de descompressão e análise desse tipo de arquivo, ocorre um uso muito alto da CPU o que leva o computador a ficar lento ou até mesmo travar.
Abaixo está uma lista dos softwares identificados como vulneráveis até hoje, 21/01/2003, pela AERAsec. Mais softwares e versões estão sendo analisados:
- kavscanner do Kaspersky AntiVirus para Linux 5.0.1.0 (provavelmente todas versões desde a 4.0.3.0)
- vscan do Trend Micro InterScan VirusWall 3.8 Build 1130 (provavelmente outras versões também)
- uvscan do McAfee Virus Scan para Linux v4.16.0 (probably other versions, too)
- AMaViS 0.2.x/0.3.x, amavisd anteriores ao amavisd-new-20021116, amavis-ng
As empresas tem liberado alguns patches e alertas. Você pode acompanhar o desenrolar da busca de soluções (e de mais versões e softwares vulneráveis) no alerta oficial da AERAsec, aqui (em inglês). Além disso, os seguintes links de algumas das empressas afetadas também podem ser consultados:
- Trend Micro, Correção 18198 - Sobre a falha no InterScan Viruswall for Unix (ISUX)
- Trend Micro, Correção 18200 - Solução para VirusWall for NT (ISNT) 3.53
- Trend Micro, Correção 18219 - Solução para InterScan VirusWall for UNIX (ISUX) 3.6 CSP edition
- Amavis - Alerta da Amavis Team
Os softwares anti-vírus possuem uma rotina interna de descompressão de arquivos para permitir a análise em busca de vírus em arquivos compactados. A AERAsec reportou que as rotinas de descompressão dos softwares das empresas citadas não parecem conseguir manejar adequadamente arquivos conhecidos como bzip2-bombs, ou bombas bzip2, já conhecidos a algum tempo. Estes arquivos consistem em arquivos com uma grande repetição do mesmo caractere, de forma que, segundo o boletim da AERAsec, um arquivo de 1,5kB pode ter ao ser descomprimido 2Gb.
O problema é que os antívirus aparentemente trabalham com limites de níveis de diretório, mas não controlam tamanho do arquivo nem tem algum código para detecção de situações anômalas.
Isto pode levar a várias consequências, resultando em um ataque de negação de serviço no anti-vírus. Já que a maioria dos softwares antivírus armazenam os arquivos descomprimidos no sistema de arquivos locais (por exemplo, em /tmp), pode ocorrer preenchimento do espaço livre em disco, cuja consequência direta é o travamento do processo de escaneamento do anti-virus e até mesmo o travemento do sistema. Além disso, durante o processo de descompressão e análise desse tipo de arquivo, ocorre um uso muito alto da CPU o que leva o computador a ficar lento ou até mesmo travar.
Abaixo está uma lista dos softwares identificados como vulneráveis até hoje, 21/01/2003, pela AERAsec. Mais softwares e versões estão sendo analisados:
- kavscanner do Kaspersky AntiVirus para Linux 5.0.1.0 (provavelmente todas versões desde a 4.0.3.0)
- vscan do Trend Micro InterScan VirusWall 3.8 Build 1130 (provavelmente outras versões também)
- uvscan do McAfee Virus Scan para Linux v4.16.0 (probably other versions, too)
- AMaViS 0.2.x/0.3.x, amavisd anteriores ao amavisd-new-20021116, amavis-ng
As empresas tem liberado alguns patches e alertas. Você pode acompanhar o desenrolar da busca de soluções (e de mais versões e softwares vulneráveis) no alerta oficial da AERAsec, aqui (em inglês). Além disso, os seguintes links de algumas das empressas afetadas também podem ser consultados:
- Trend Micro, Correção 18198 - Sobre a falha no InterScan Viruswall for Unix (ISUX)
- Trend Micro, Correção 18200 - Solução para VirusWall for NT (ISNT) 3.53
- Trend Micro, Correção 18219 - Solução para InterScan VirusWall for UNIX (ISUX) 3.6 CSP edition
- Amavis - Alerta da Amavis Team
Fonte:
Eu escrevi
URL Fonte: http://totalsecurity.com.br/noticia/383/visualizar/
Comentários