Bug 19770

Summary: Множественные ошибки безопасности: CVE-2008-6680, CVE-2009-1241, CVE-2009-1270, CVE-2009-1371, CVE-2009-1372
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: clamavAssignee: Sergey Y. Afonin <asy>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 CC: asy, asy, ldv, mike
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://secunia.com/advisories/34566

Description Vladimir Lettiev 2009-04-25 21:48:27 MSD 
В clamav обнаружены несколько ошибок:

CVE-2008-6680 - libclamav/pe.c in ClamAV before 0.95 allows remote attackers to cause a denial of service (crash) via a crafted EXE file that triggers a divide-by-zero error.

CVE-2009-1241 - Unspecified vulnerability in ClamAV before 0.95 allows remote attackers to bypass detection of malware via a modified RAR archive.

CVE-2009-1270 - libclamav/untar.c in ClamAV before 0.95 allows remote attackers to cause a denial of service (infinite loop) via a crafted TAR file that causes (1) clamd and (2) clamscan to hang.

CVE-2009-1372 - Stack-based buffer overflow in the cli_url_canon function in libclamav/phishcheck.c in ClamAV before 0.95.1 allows remote attackers to cause a denial of service (application crash) and possibly execute arbitrary code via a crafted URL.

CVE-2009-1371 - The CLI_ISCONTAINED macro in libclamav/others.h in ClamAV before 0.95.1 allows remote attackers to cause a denial of service (application crash) via a malformed file with UPack encoding.

Upstream выпустил исправление в виде новой версии 0.95.1
Comment 1 Michael Shigorin 2009-06-13 22:25:45 MSD 
ping, уже 0.95.2.

2 asy: часом не собираешь для себя?
Comment 2 Sergey Y. Afonin 2009-06-22 09:06:35 MSD 
Собираю. У Виктора есть проблема, связанная с выкладыванием в Сизиф:

From: Victor Forsyuk <force@altlinux.org>
Date: 17/04/09 18:45

> А что с ClamAV в Сизифе ? Я попробовал собрать 0.95.1 собрался без проблем.

А чего б там быть проблемам. Соберется, конечно. Но на libclamav завязано энное количество програм в репозитарии, а тут очередная смена сонейма. Так как раньше собирать уже не дадут (с контролируемыми временными анметами). Делать финты с libclamav-compat - изврат абсолютный. 
 
А сесть за изучение gitарной сборки - нет пока ни времени, ни сил.
Comment 3 Sergey Y. Afonin 2009-06-22 15:27:12 MSD 
2 Victor: давай я пособираю, пока у тебя руки до git дойдут ?
Comment 4 Michael Shigorin 2009-07-20 14:48:05 MSD 
(In reply to comment #2)
> From: Victor Forsyuk <force@altlinux>
> А сесть за изучение gitарной сборки - нет пока ни времени, ни сил.
2 force: дёргай, чем смогу -- помогу.
Comment 5 Sergey Y. Afonin 2009-07-22 09:18:59 MSD 
0.95.2-alt1 в Сизифе. Фух...
Comment 6 Vladimir Lettiev 2009-07-22 10:06:40 MSD 
(В ответ на комментарий №5)
> 0.95.2-alt1 в Сизифе. Фух...

поздравляю всех :)

p.s. подозреваю, что в ближайшее время будет ещё один релиз. :)