Desde Linux David Naranjo  

La nueva versión de ClamAV 0.102.4 llega a solucionar 3 vulnerabilidades

Los desarrolladores Cisco dieron a conocer mediante un nuncio la liberación la nueva versión correctiva de su paquete antivirus gratuito ClamAV 0.102.4 con la finalidad de dar solución a tres vulnerabilidades que podían permitir organizar la eliminación o el movimiento de archivos arbitrarios en el sistema.

Para quienes desconocen de ClamAV deben saber que este es un antivirus open source y multiplataforma (cuenta con versiones para las plataformas Windows, GNU/Linux, BSD, Solaris, Mac OS X y otros sistemas operativos semejantes a Unix).

ClamAV proporciona una serie de herramientas antivirus diseñadas específicamente para el escaneo de correo electrónico. La arquitectura de ClamAV es escalable y flexible gracias a un proceso multihilo.

Posee un potente monitor integrado con la línea de comandos y herramientas para actualizar las bases de datos automáticamente.

El objetivo primario de ClamAV es la consecución de un conjunto de herramientas que identifiquen y bloqueen el malware proveniente del correo electrónico. Uno de los puntos fundamentales en este tipo de software es la rápida localización e inclusión en la herramienta de los nuevos virus encontrados y escaneados.

Esto se consigue gracias a la colaboración de los miles de usuarios que usan ClamAv y a sitios como Virustotal.com que proporcionan los virus escaneados.

¿Qué hay de nuevo en ClamAV 0.102.4?

En esta nueva version de ClamAV 0.102.4 los desarrolladores presentaron la solución a tres graves fallos que fueron detectados.

El primero de ellos catalogado como CVE-2020-3350, permite que un atacante local sin privilegios poder realizar la eliminación o el movimiento de archivos arbitrarios en el sistema. Este es un grave fallo, ya que por ejemplo, puede permitir al atacante poder eliminar el directorio /etc/passwd sin los permisos necesarios.

La vulnerabilidad es causada por una condición de carrera que ocurre al escanear archivos maliciosos y permite que un usuario con acceso de shell en el sistema falsifique el directorio de destino para escanear con un enlace simbólico que apunta a una ruta diferente.

Por ejemplo, un atacante puede crear un directorio y cargar un archivo con una firma de virus de prueba, nombrando este archivo «passwd».

Después de iniciar el programa de detección de virus, pero antes de eliminar el archivo problemático, puede reemplazar el directorio «exploit» con un enlace simbólico que apunta al directorio «/etc», lo que hará que el antivirus elimine el archivo /etc/passwd. La vulnerabilidad solo aparece cuando se usa clamscan, clamdscan y clamonacc con la opción «–move» o «–remove».

Las otras vulnerabilidades que fueron solucionadas CVE-2020-3327, CVE-2020-3481, permiten la denegación de servicio a través de la transferencia de archivos especialmente diseñados, cuyo procesamiento conducirá al colapso del proceso de escaneo en los módulos para analizar archivos en formato ARJ y EGG.

Si quieres conocer mas al respecto puedes consultar el siguiente enlace.

¿Como instalar ClamAV en Linux?

Para quienes estén interesados en poder instalar este antivirus en su sistema, podrán hacerlo de una manera bastante sencilla y es que ClamAV se encuentra dentro de los repositorios de la mayoría de las distribuciones de Linux.

Para el caso de Ubuntu y sus derivados pueden realizar la instalación de este desde la terminal o desde el centro de software del sistema.

Para poder realizar la instalación desde la terminal solo deben de abrir una en su sistema (pueden hacerlo con el atajo de teclas Ctrl + Alt + T) y en ella solo tienen que teclear el siguiente comando:
sudo apt-get install clamav

Para el caso de los que son usuarios de Arch Linux y derivados:
sudo pacman-S clamav

Mientras que para quienes utilizan Fedora y derivados
sudo dnf install clamav

OpenSUSE
sudo zypper install clamav

Y listo con ello ya tendrán instalado este antivirus en su sistema. Ahora como en todo antivirus, ClamAV también cuenta con su base de datos la cual descarga y toma para realizar comparaciones en un archivo “definitions”. Este archivo es una lista que informa al escáner acerca de los elementos cuestionables.

Cada cierto tiempo es importante poder realizar la actualización de este archivo, el cual podremos actualizar desde la terminal, para ello simplemente ejecuten:
sudo freshclam

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.