ASA-2019-00631 – ClamAV: Vulnerabilidade Zip Bomb


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00631

Identificador(es)

ASA-2019-00631, CVE-2019-12625

Título

Vulnerabilidade Zip Bomb

Fabricante(s)

Cisco Systems

Produto(s)

ClamAV

Versão(ões) afetada(s)

ClamAV versões anteriores à 0.101.4

Versão(ões) corrigida(s)

ClamAV versão 0.101.4

Prova de Conceito

Sim

Descrição

As versões do ClamAV anteriores à 0.101.4 são suscetíveis a vulnerabilidade conhecida como Zip Bomb, na qual um atacante não autenticado pode causar uma condição de negação de serviço enviando mensagens criadas para um sistema afetado.

Detalhes técnicos

Desconhecido

Créditos

David Fifield

Referência(s)

ClamAV 0.101.3 security patch release and 0.102.0-beta have been published
https://blog.clamav.net/2019/08/clamav-01013-security-patch-release-and.html

ClamAV 0.101.4 security patch release has been published
https://blog.clamav.net/2019/08/clamav-01014-security-patch-release-has.html

ZIP bomb causes extreme CPU spikes
https://bugzilla.clamav.net/show_bug.cgi?id=12356

Adds –max-scantime clamscan option and MaxScanTime clamd config option.
https://github.com/Cisco-Talos/clamav-devel/commit/0359cc5754403f4643db6cfc9267823f84d57f5a

Adds detection and heuristic alert for zips with overlapping files, preventing extraction of non-recursive zip bombs.
https://github.com/Cisco-Talos/clamav-devel/commit/dcd26ea5f97bf851f4bac74f1367aedf5c162c9c

clamav: denial of service through “better zip bomb”
https://www.openwall.com/lists/oss-security/2019/08/06/3

A better zip bomb
https://www.bamsoftware.com/hacks/zipbomb/

CVE-2019-12625 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-12625.html

CVE-2019-12625 | SUSE
https://www.suse.com/security/cve/CVE-2019-12625

CVE-2019-12625
https://security-tracker.debian.org/tracker/CVE-2019-12625

CVE-2019-12625
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12625

CVE-2019-12625
https://nvd.nist.gov/vuln/detail/CVE-2019-12625

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 8 dezembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.