VulDB: Sophos Anti-Virus Archiv Umgehung der Erkennung
Allgemein
scipID: 3297
Betroffen: Sophos Anti-Virus
Veröffentlicht: 07.09.2007 (Thierry Zoller, n.runs AG)
Risiko: 
problematisch
Beschreibung
Sophos ist ein europäischer Anbieter von Viren-, Malware- und Spam-Schutz, der sich nach eigener Aussage auf Unternehmen als Kunden spezialisiert hat und alle Bereiche der Computer-Sicherheit mit Lösungen aus einer Hand anspricht. In aktuellen Versionen des Produktes "Anti-Virus" liegen verschiedene Schwachstellen vor, bei denen Archive in den Formaten CAB, LZH und RAR mit manipulierten Headerinformationen der Kontrolle durch die Applikation entgehen können. Dies erlaubt es einem Angreifer unter Umständen, eigentlich bekannte Malware unbemerkt in ein Zielnetzwerk zu schleusen.
Ein allgemeines Problem von Antivirensoftware ist es, dass ein Angreifer eigentlich in jedem Fall in der Lage ist, mittels unbekannter Binaries an ihnen vorbeizukommen. Erlaubt es eine derartige Applikation aber, auch bekannte Malware mittels eines Tricks einzuschleusen, so sinkt die Angriffsschwelle auf ein bedenkliches Niveau. Es empfiehlt sich hier, baldmöglichst ein Update der Scanning Engine auf die neuste Version vorzunehmen.
Exploiting
Klasse: Umgehungs-Angriff
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: http://www.sophos.com/support/knowledgebase/article/29146.html
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.sophos.com/support/knowledgebase/article/29146.html
Snort: –
Pattern: –
Quellen
Advisory: http://www.sophos.com/support/knowledgebase/article/29146.html
CVE: CVE-2007-4787
OSVDB: 37988
Securityfocus: 25574
Secunia: 26726
X-Force: 36502
Securitytracker: –
VUPEN: ADV-2007-3078
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. September 2007
Buchtipp: Anonymous (2001), Der neue Linux Hacker’s Guide, Markt+Technik, ISBN 3827260981 (amazon.de)
