ClamAV < 0.95.2 多种扫描逃避漏洞

medium Nessus 插件 ID 39437

简介

远程防病毒服务容易遭受文件扫描逃避攻击。

描述

根据其版本,远程主机上的 clamd 防病毒后台程序低于 0.95.2。据报告此类版本受到多个扫描逃避漏洞的影响:

- 攻击者可将恶意代码内嵌在特别构建的“CAB”、“RAR”或“ZIP”存档中,以绕过防病毒检测。

- 由于“libclamav/mbox.c”中存在一个问题,攻击者可通过发送 UTF-16 编码电子邮件来绕过防病毒检测。

- 由于“libclamav/readdb.c”中存在一个问题,某些应被拒绝的签名能够绕过检测。

解决方案

升级到 ClamAV 0.95.2 或更高版本。

另见

http://blog.zoller.lu/2009/05/advisory-clamav-generic-bypass.html

https://seclists.org/bugtraq/2009/Jun/170

https://bugzilla.clamav.net/show_bug.cgi?id=1573

https://bugzilla.clamav.net/show_bug.cgi?id=1615

插件详情

严重性: Medium

ID: 39437

文件名: clamav_0_95_2.nasl

版本: 1.20

类型: remote

系列: Misc.

发布时间: 2009/6/17

最近更新时间: 2018/11/15

配置: 启用偏执模式

支持的传感器: Nessus

漏洞信息

CPE: cpe:/a:clamav:clamav

必需的 KB 项: Settings/ParanoidReport, Antivirus/ClamAV/version

易利用性: No known exploits are available

参考资料信息

BID: 35398, 35410, 35426