SourceFire ClamAV bis 0.96.x vba_extract.c vba_read_project_strings Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
In SourceFire ClamAV bis 0.96.x (Anti-Malware Software) wurde eine kritische Schwachstelle gefunden. Das betrifft die Funktion vba_read_project_strings der Datei vba_extract.c. Dank Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-399. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Double free vulnerability in the vba_read_project_strings function in vba_extract.c in libclamav in ClamAV before 0.97 might allow remote attackers to execute arbitrary code via crafted Visual Basic for Applications (VBA) data in a Microsoft Office document. NOTE: some of these details are obtained from third party information.Die Schwachstelle wurde am 21.02.2011 in Form eines bestätigten GIT Commits (GIT Repository) an die Öffentlichkeit getragen. Das Advisory kann von git.clamav.net heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2011-1003 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Für den Vulnerability Scanner Nessus wurde am 13.06.2014 ein Plugin mit der ID 75450 (openSUSE Security Update : clamav (openSUSE-SU-2011:0208-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet.
Ein Upgrade auf die Version 0.97.0 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches beheben. Dieser kann von git.clamav.net bezogen werden. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. SourceFire hat offensichtlich unmittelbar reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (65544) und Tenable (75450) dokumentiert.
Produkt
Typ
Hersteller
Name
Version
- 0.1
- 0.2
- 0.3
- 0.4
- 0.5
- 0.6
- 0.7
- 0.8
- 0.9
- 0.10
- 0.11
- 0.12
- 0.13
- 0.14
- 0.15
- 0.16
- 0.17
- 0.18
- 0.19
- 0.20
- 0.21
- 0.22
- 0.23
- 0.24
- 0.25
- 0.26
- 0.27
- 0.28
- 0.29
- 0.30
- 0.31
- 0.32
- 0.33
- 0.34
- 0.35
- 0.36
- 0.37
- 0.38
- 0.39
- 0.40
- 0.41
- 0.42
- 0.43
- 0.44
- 0.45
- 0.46
- 0.47
- 0.48
- 0.49
- 0.50
- 0.51
- 0.52
- 0.53
- 0.54
- 0.55
- 0.56
- 0.57
- 0.58
- 0.59
- 0.60
- 0.61
- 0.62
- 0.63
- 0.64
- 0.65
- 0.66
- 0.67
- 0.68
- 0.69
- 0.70
- 0.71
- 0.72
- 0.73
- 0.74
- 0.75
- 0.76
- 0.77
- 0.78
- 0.79
- 0.80
- 0.81
- 0.82
- 0.83
- 0.84
- 0.85
- 0.86
- 0.87
- 0.88
- 0.89
- 0.90
- 0.91
- 0.92
- 0.93
- 0.94
- 0.95
- 0.96
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-399 / CWE-404
ATT&CK: Unbekannt
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 75450
Nessus Name: openSUSE Security Update : clamav (openSUSE-SU-2011:0208-1)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 103083
OpenVAS Name: ClamAV vba_read_project_strings() Double Free Memory Corruption Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: ClamAV 0.97.0
Patch: d21fb8d975f8c9688894a8cef4d50d977022e09f
Timeline
01.01.2011 🔍14.02.2011 🔍
15.02.2011 🔍
21.02.2011 🔍
21.02.2011 🔍
21.02.2011 🔍
23.02.2011 🔍
02.03.2011 🔍
13.06.2014 🔍
20.03.2015 🔍
17.10.2021 🔍
Quellen
Hersteller: cisco.comAdvisory: USN-1076-1
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2011-1003 (🔍)
OVAL: 🔍
X-Force: 65544
Vulnerability Center: 29773 - ClamAV Prior to 0.97 vba_read_project_strings Double Free Vulnerability, Medium
SecurityFocus: 46470 - ClamAV 'vba_read_project_strings()' Double Free Memory Corruption Vulnerability
Secunia: 43392
OSVDB: 70937 - ClamAV vba_extract.c vba_read_project_strings() Function Double-free Arbitrary Code Execution
Eintrag
Erstellt: 20.03.2015 16:16Aktualisierung: 17.10.2021 19:18
Anpassungen: 20.03.2015 16:16 (68), 10.05.2019 18:32 (9), 17.10.2021 19:09 (7), 17.10.2021 19:18 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.