okamura
Site Admin
登録日: 2006.11.13
記事: 291
所在地: 埼玉県
|
 日時: 2008-04-14 21:34:01+00:00 記事の件名: ClamAV 0.92.1 で PE ファイルに関するバッファーオーバーフロー |
 |
|
Secunia の「ClamAV Upack Processing Buffer Overflow Vulnerability」によると、ClamAV の 0.92 と 0.92.1 で以下の脆弱性が確認されたそうです。それ以前のバージョンも同様かもしれないとされています。
Windows の PE (ortable Executable) 形式の実行ファイルをスキャンするときにヒープメモリ(必要に応じて動的に OS から取得されるメモリ領域)ベースのバッファーオーバーフローが発生するケースがあるそうです。
これを悪用して、特別に細工されたファイルを ClamAV にスキャンさせると任意のコード(プログラムの断片)を実行させることができてしまうそうです。
Secunia では直ぐにアップデート版が出るだろうと書いていますが、同時に「The PE scanning module has been remotely switched off after 10/03/2008.」と述べています。直訳すると「2008年10月3日以降、PE スキャンモジュールは遠隔で無効にしてあります」ということだと思うのですが、ClamAV の設定を遠隔で無効にできるとは思えません。何を意味しているのかよくわかりません。
それはともかくとして、Secunia の情報から PE ファイルの内部を解析するようなスキャンをさせなければこの脆弱性を回避できるものと思われます。そのためには- clamd を使用している場合
clamd.conf に
という設定を入れる。clamscan を使用している場合
コマンドラインのオプションに --no-pe を付ける。という措置が必要です。
ClamXav ユーザの人は ClamXav の環境設定で clamscan のオプションを指定するところがあるので、そこに --no-pe を入れることになります。ClamXav のヘルパーアプリ ClamXavSentry は起動時に clamd が使用可能だと clamd にスキャンを依頼するようになります。そういう環境では上の両方をやっておく必要があるでしょう。
しかし、これを行うと PE ファイルを表面的にしかスキャンしないので今まで発見できていたマルウェアを発見できなくなる可能性があります。
_________________
OKAMURA |
|
FAQ
検索
メンバーリスト
ユーザーグループ
登録する
プロフィール
プライベートメッセージをチェックする
ログイン
