URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129784
[ Назад ]
Исходное сообщение
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода и утечке системных файлов"
Отправлено opennews , 16-Фев-23 10:15 
Компания Cisco опубликовала новые выпуски свободного антивирусного пакета ClamAV 1.0.1, 0.105.3 и  0.103.8, в которых устранена критическая уязвимость (CVE-2023-20032), способная привести к удалённому выполнению кода на сервере при сканировании в ClamAV файлов со специально оформленными  дисковыми образами в формате HFS+...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58659

Содержание
Сообщения в этом обсуждении
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 10:15 
Получается ClamAV - просто троянская лошадь с такими уязвимостями.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено ryoken , 16-Фев-23 10:16 
>>троянская лошадь

Троянский слон

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 11:10 
> Компания Cisco ... уязвимости

Как неожиданно!

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено InuYasha , 16-Фев-23 19:01 
Не кламав какой-то, а "Антивирус Попова" же!

Ну, и никто (кроме жалкого ЦРУ) не ныл же что тот же Кашперовский тоже утекает пользовательские данные к себе на сервер. )

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено mikhailnov , 23-Фев-23 00:32 
А проприетарные антивирусы — тем более
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено ryoken , 16-Фев-23 10:15 
>>специально оформленными дисковыми образами в формате HFS+.
>>Уязвимость проявляется при разборе специально оформленных файлов в формате DMG и вызвана тем, что парсер в процессе разбора допускает подстановку внешних элементов XML, на которые имеются ссылки в разбираемом DMG-файле.

Кто-то затеял проверять МакОСь и получил всякого интересного? :)
Вообще, всегда было интересно узнать, как находят вот такие специфические грабли люди?

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено n80 , 16-Фев-23 11:35 
> Вообще, всегда было интересно узнать, как находят вот такие специфические грабли люди?

Что-то обнаруживается по итогам анализа выдачи статических анализаторов, что-то — фаззингом.

Но здесь проблема как раз довольно типичная, за использованием XML почти всегда тянутся проблемы типа CWE-611 (Improper Restriction of XML External Entity Reference) и CWE-776 (Improper Restriction of Recursive Entity References in DTDs), поэтому искатели багов где видят использование XML, там сразу ищут возможность подобные уязвимости.

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено A , 17-Фев-23 23:02 
> Вообще, всегда было интересно узнать, как находят вот такие специфические грабли люди?

Когда по работе обязан работать с Огрызками, волей не волей возникает интеграция Linux+(Mac|Win).

Но, да, это повод подумать куда и зачем дрейфует мышление.

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 11:11 
>Уязвимость вызвана отсутствием должной проверки размера буфера, что позволяет записать свои данные в область за границу буфера и организовать выполнение кода с правами процесса ClamAV

Удивительно что настоящие программисты которым не нужны проверки компилятора и времени выполнения, вышли за границу буфера. Никогда такого не было и вот опять.

Вот в java настоящие массивы и строки, а не указатели на область памяти не известного размера. И всегда происходит проверка на допустимый диапазон индекса.
Даже в pascal настоящие массивы и настоящие строки

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 12:53 
Настоящие программисты не используют Паскаль 1982 http://lib.ru/ANEKDOTY/non_pas.txt
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено AKTEON , 16-Фев-23 13:39 
Все правильно.Настоящих программистов как в 1974 году мы даже приблизительно не имеем.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 15:01 
Настоящие айтишники HTTP без TLS в браузере Firefox не используют.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 15:05 
>Настоящим программистам  для выполнения работы не нужны абстрактные концепции: для счастья им достаточно перфоратора

А я-то и не знал, что у нас почти все приезжие из Средней Азии - программисты! Айтишная сверхдержава, столько программистов едет, и недорого работу делает!

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 12:43 
Нащяника! Жамщут сказаль, он много пограмист в офись работай! Плитка клал, шкапатурка клал, кираска стина мазаль - все по грамам деляль - пограмист работай!
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 16-Фев-23 13:06 
А эти настоящие массивы и строки какого цвета и какие на ощупь? Давай антивирь на джаве, а лучше на NodeJS, чтобы не только в 2 раза тормознее было, а в 20.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 13:56 
ну то есть для тебя лучше быстро, чем без дыр, через которые тебя поимеют? и это в антивирусном пакете
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 16-Фев-23 13:59 
ничем вышеперечисленным я не пользуюсь
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 14:18 
тогда почему тебя корежит от того, что антивирус будет работать от 2 до 20 раз медленнее?
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 16-Фев-23 16:00 
> HFS+
> DMG

!= AV

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 19:24 
То есть ты думаешь, что если твой антивирус некорректно обрабатывает эти типы файлов, то он обрабатывает некорректно только их? Или ты думаешь, что раз ты не пользуешься этими типами файлов, то ими никто не пользуется?

>> HFS+
>> DMG
> != AV

вот только говорил ты про то, что тормозит у тебя AV на не дырявой сишке

> Давай антивирь на джаве, а лучше на NodeJS, чтобы не только в 2 раза тормознее было, а в 20.

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 16-Фев-23 22:35 
дырявый это ты, а Си это язык среднего уровня для свободной работы с указателями, где не нужны UNSAFE
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 22:56 
> дырявый это ты

это как то влияет на дырявость сишных поделок?

> Си это язык среднего уровня для свободной работы с указателями

для работы с дырками, особенно в обычной прикладухе

> где не нужны UNSAFE

мы же знаем, что для всего кода не нужен unsafe, потому что писать будем все равно все под ним

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 14:02 
Массивы и строки это абстракции. Они не имеют цвета и их нельзя потрогать.
и.о. К.О.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 16-Фев-23 14:08 
Нужно изобрести язык с цветовой идентичностью, внедрить libadwaita в каждый объект. И назвать язык всеми буквами ABCDE...XYZ для инклюзивности.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 16-Фев-23 14:11 
это будет некстген после языка спецсимволов для шестерёнок, еще шероховатостью обозначать время жизни переменной
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 14:20 
язык Си уже изобретен, вместе с дырами на любой вкус и цвет, для всех видов гендеров

я почти уверен, что дыры для боевого трансгендерного вертолета там тоже есть

либадвайта кста на этом самом языке написана

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 16-Фев-23 16:02 
Если бы не было дыр, то тебя бы тоже не было
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 19:16 
И поэтому языки, провоцирующие появление дыр - благо.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 16-Фев-23 22:41 
у тебя такая логика, что и даже само наличие компьютера можно считать дырой, и вообще любую прошивку или устройство, написанное не то, что на Си, а на VDL шибка допущена, а еще всякие уязвимости микрочипов от глитча по напряжению можно приплести.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 23:04 
Поэтому дыры мы будем расширять, потому что они же уже есть, чего бы им более широкими то не стать
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 17-Фев-23 01:06 
нет, я буду пользоваться дырявым достоянием, меня же не спонсируют корпорации на повторный велосипед с автоматическим рулём на твой оранжевый фетиш, и этот софт будет работать и выполнять свою функцию и зарабатывать деньги
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 01:26 
да ради бога, пользуйся и зарабатывай, другим только не затирай про то, что скорость лучше безопасности, не у всех такие приоритеты в жизни
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 17-Фев-23 01:09 
я же говорю, кроличья ныра даже больше, чем ты думаешь, и небольшая таблеточка роли особой не сыграет, и ради бога, перепешите все SDK вместо кода 1990 года, я буду рад, а пока нечего взять, я использую Го в прикладных целях и Си там, где есть всё только на Си.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 01:30 
> перепешите все SDK вместо кода 1990 года

кто мы перепишите? на чем?

> я использую Го в прикладных целях

дак тормозит же, от 2 до 20 раз

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 10:46 
> дак тормозит же, от 2 до 20 раз

Тише едешь, дальше будешь.

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 17-Фев-23 01:11 
и не забудьте гуй прикрутить, а не вебсервисы для браузера.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 17-Фев-23 01:12 
но поскольку вы мне не должны, то мне пофиг, а почему вам сишники что-то должны? хотят и пишут
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 01:38 
> а почему вам сишники что-то должны?

ну потому что сишники на местном форуме регулярно говорят, что те, кто бьет память, не программисты и вообще вон из профессии, отсюда следует вопрос, а есть ли среди сишников программисты?

> хотят и пишут

пускай пишут, с меня не убудет, просто заявлять про безопасность таких вещей нельзя просто по-умолчанию, в том числе при использовании свободного антивирусного пакета, который как бы подпирает дырявость в том числе и сишных программ (дыры пытаются подпереть дыры - отлично)

проблема то ведь не в том, что сишники бьют память, проблема в том, что сишники ничего не хотят с этим делать, побито и побито, и болт с ним

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 12:45 
>Давай антивирь на джаве, а лучше на NodeJS

Сразу на электроне, чтобы для его запуска сначала хром открывался.

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено bOOster , 16-Фев-23 11:21 
Cisco умеет специальные дырки оформлять...
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Яя , 16-Фев-23 11:37 
Они уже открыли трафик для России?
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 17:13 
Нет, суровый опенсорс же.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 18:22 
Нет, опенсорс можно скачивать и использовать.
Это суровая циско корпорашка.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноньимъ , 16-Фев-23 11:58 
Празднично однако. Безопасность...
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 12:08 
А сколько таких дыр в проприетарных закрытых виндузятских антивирусах....
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 12:21 
Доктор и Касперыч хихикают
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 12:48 
В винде, как известно, дыр нет
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено ryoken , 16-Фев-23 13:00 
> В винде, как известно, дыр нет

Как интересно... А что есть?

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 13:11 
проприетарное значит профессиональное
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 18:53 
За интернет на Симпли Альт Линукс провайдер берёт деньги, а не даёт. )
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено www2 , 17-Фев-23 18:31 
Профессиональное - это как аноивирус от Symantec или Lotus Notes Domino?
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено YetAnotherOnanym , 16-Фев-23 12:59 
> парсер в процессе разбора допускает подстановку внешних элементов

Подозреваю, что автор нашёл в документации на либу описание нужного ему функционала, а на чтение остального текста забил.
А кто-то не забил.

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено пох. , 17-Фев-23 08:38 
я как-то очень сомневаюсь что "нужный" (для чего? зачем вообще при анализе на _вирусы_ ты полез придyрок парсить xml из этого файла? Стандартной либой, хотя единственный мизерный смысл - это попрасить его на тему попыток найти уязвимость в той самой стандартной либе) автоматически прям открывает что попало. Скорее всего открыть-то должен был ты сам. (Впрочем, авторы libxml2 правда непуганные, так что все могло быть.)

Но цискиному рабу ни на секунду не пришло в голову задумываться, что вообще он в том файле забыл. Таск "распарсить dng" закрыт, некст, некст, спринт не может ждать.


"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено YetAnotherOnanym , 17-Фев-23 09:52 
Вот хз,что там может быть в том xml. Вики утверждает, что там какой-то пропертилист, в котором записано что и как в имидже.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено пох. , 19-Фев-23 20:30 
мы там, на минутку, вирус ищем, а не прон.
Поэтому никакие пропертя нам и нафиг не проперлись. (т.е. если это такая попытка дорытся до, скажем, эмбеднутого жпега - его надо по сигнатуре искать в таком раскладе, причем он может оказаться и не там, где положен по горе-стандартам) А вот предположить что именно в них тебе что-то и подбросят...ну, не для современного быстро-быстро-кодерка,конечно.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 16-Фев-23 13:59 
«Существует только два вида языков: те, на которые люди жалуются, и те, которыми никто не пользуется»
Бьёрн Страуструп
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 14:47 
это расходится с мнением опеннетных экспертов

есть язык, который нельзя называть, про него постоянно ноют, но не забывают упоминать, что на нем никто не пишет, а если и пишет, то разработка обязательно скоро заглохнет, как только CoC будет написан

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено пох. , 17-Фев-23 08:40 
И что не так? Много уже кламавов вы на нескучном язычке понаписали, ведь он безопастный и защищает от открывания файлов (ой?) ? А,нет, вы все еще зачем-то греп переписываете.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 10:43 
первый коммент:

существует один тип языков с одним признаком, и существует другой тип языков с другим признаком

второй коммент:

нет, существует еще язык с сочетанием этих признаков

твой коммент:

а че вы  на этом языке не пишете?


ты наркоман что ли? кто мы то? как ты приплел к перечислению типов и признаков необходимость писать? а если тебе надо знать, что на нем пишут - сходи в гугл, там отлично расписаны проекты на всех интересующих тебя языках со всеми признаками

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено пох. , 17-Фев-23 13:56 
тооочно, это ж я норкоман, это ж не ты норкоман - "сущиствуитсущиствуит волшебнейший язычок - а что это на нем ничего не написано - как вы смеете задавать такие вопросы, мы тут просто перечисляли типы и признаки" (ну да, кодить-то вы ни на каком не умеете)

спасибо, мне неинтересно знать что на нем - пишутъ. А то бы как-нибудь без твоих советов нашел.
Вот написано на нем - хрен да нихрена полезного.
Но конечно же он спас бы от автооткрытия первого попавшегося при разборе xml внешнего файла, он же ж - вааалшебный!

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 15:30 
> сущиствуитсущиствуит волшебнейший язычок - а что это на нем ничего не написано - как вы смеете задавать такие вопросы, мы тут просто перечисляли типы и признаки

а нука давай пруфцов, где я говорю, что он волшебнейший, и на утверждение, что на нем всенепременно должно быть написано хоть что нибудь

а еще обоснуй ка, каким это образом оспаривание очевидно глупого выражения некоего страуструпа обязывает сразу бегом приводить примеры программ на каком то "волшебнейшем язычке", про которые ты тут же говоришь, что они тебе не нужны

> Но конечно же он спас бы от автооткрытия первого попавшегося при разборе xml внешнего файла, он же ж - вааалшебный!

но ведь ты же предоставишь пруфы на то, что я это говорил? или как всегда, за других додумал шизу, и теперь кидаешься ей?

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено InuYasha , 16-Фев-23 19:04 
Хорошая фраза. Проверять её мы, конечно, не будем. А вообще - из серии "не падает с велика тот кто не катается".
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноньимъ , 16-Фев-23 22:22 
Чего ещё ожидать от этого графомана.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 12:23 
он не пробовал Rust
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено 123 , 16-Фев-23 14:07 
> Red Hat Bugzilla – Invalid Bug ID
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено idontlikewebmonkeys , 16-Фев-23 16:07 
Дыры есть везде, даже в центре млечного пути, но увы, это более понятно тем, кто древнее, и не понятно тем, в ком больше необеспеченной ничем гордыни.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Анонус , 16-Фев-23 18:31 
> Дыры есть везде

Но в дуршлаге их больше, чем в чайнике. Поэтому чай заваривают во втором.

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Анон133 , 16-Фев-23 18:56 
В чайнике они мельче, а кол-во не имеет значение.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 16-Фев-23 18:56 
Зато в чайнике большая.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 09:22 
Неужели кто-то пользуется этим?
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Брат Анон , 17-Фев-23 09:55 
Иногда, да. Например при загрузке непонятно каких файлов пользователем бывает полезно посканировать.
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено San , 17-Фев-23 10:40 
Подкину повод для ...
$ grep BUILD_DEPENDS /usr/ports/security/clamav/Makefile
BUILD_DEPENDS=  ${RUST_DEFAULT}>=1.56.0:lang/${RUST_DEFAULT}
"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено пох. , 17-Фев-23 13:58 
> Подкину повод для ...
> $ grep BUILD_DEPENDS /usr/ports/security/clamav/Makefile
> BUILD_DEPENDS=  ${RUST_DEFAULT}>=1.56.0:lang/${RUST_DEFAULT}

это видимо уже _начали_ переписывать. Но поскольку альтернативно-одаренные ничего кроме CoC.md не написали - ой, увизгвимости.

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 20:50 
с разморозкой, товарищ

этой фне уж год как а то и больше

если честно - пох абсолютно, их и раньше можно было использовать только самосбором, а добавив раст в зависимости, лично у меня желание собирать и использовать етот продукт они отбили окончательно.

"Уязвимости в ClamAV, приводящие к удалённому выполнению кода..."
Отправлено Аноним , 17-Фев-23 20:43 
>файлов со специально оформленными дисковыми образами в формате HFS+.
>специально оформленных файлов в формате DMG

стесняюсь спросить - хакер с солонкой прикупил по случаю старый макбук?