L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de F-PROT AV

bulletin de vulnérabilité informatique CVE-2012-1420 CVE-2012-1423 CVE-2012-1426

F-PROT Antivirus : contournement via ELF, RAR, TAR, ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ou un programme, contenant un virus qui n'est pas détecté par F-PROT Antivirus.
Produits concernés : F-PROT AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 21/03/2012.
Références : BID-52585, BID-52588, BID-52591, BID-52608, BID-52610, BID-52612, BID-52614, BID-52615, BID-52623, BID-52629, CVE-2012-1420, CVE-2012-1423, CVE-2012-1426, CVE-2012-1431, CVE-2012-1443, CVE-2012-1456, CVE-2012-1457, CVE-2012-1459, CVE-2012-1460, CVE-2012-1463, VIGILANCE-VUL-11468.

Description de la vulnérabilité

Les outils d'extraction d'archives (TAR, ZIP, etc.) acceptent d'extraire des archives légèrement malformées. Les systèmes acceptent aussi d'exécuter des programmes (ELF) légèrement malformés. Cependant, F-PROT Antivirus ne détecte pas les virus contenus dans ces archives/programmes.

Une archive TAR contenant "\7fELF" dans les 4 premiers caractères contourne la détection. [grav:1/4; BID-52615, CVE-2012-1420]

Une archive TAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52588, CVE-2012-1423]

Une archive TAR contenant "\42\5A\68" dans les 3 premiers caractères contourne la détection. [grav:1/4; BID-52585, CVE-2012-1426]

Un programme ELF contenant "\4a\46\49\46" à l'offset 6 contourne la détection. [grav:2/4; BID-52591, CVE-2012-1431]

Une archive RAR contenant "MZ" dans les 2 premiers caractères contourne la détection. [grav:1/4; BID-52612, CVE-2012-1443]

Une archive ZIP commençant par des données TAR contourne la détection. [grav:1/4; BID-52608, CVE-2012-1456]

Une archive TAR avec une taille trop grande contourne la détection. [grav:1/4; BID-52610, CVE-2012-1457]

Une archive TAR avec un entête contenant une valeur trop grande contourne la détection. [grav:1/4; BID-52623, CVE-2012-1459]

Une archive TAR+GZ terminant par 6 octets aléatoires contourne la détection. [grav:1/4; BID-52629, CVE-2012-1460]

Un programme ELF avec un cinquième octet modifié contourne la détection. [grav:2/4; BID-52614, CVE-2012-1463]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n'est pas détecté par l'antivirus, mais qui est exécuté par le système.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 11128

Avast, F-Prot : non détection de virus sur NTFS

Synthèse de la vulnérabilité

Un attaquant qui peut déposer un virus sur une partition NTFS peut modifier ses droits, afin que le virus soit exécutable, mais ne soit pas détecté par l'antivirus.
Produits concernés : Avast AV, F-PROT AV.
Gravité : 1/4.
Conséquences : accès/droits privilégié.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/11/2011.
Références : BID-50569, VIGILANCE-VUL-11128.

Description de la vulnérabilité

Les partitions NTFS permettent de définir les droits d'accès d'un fichier :
 - "Execute File" : permission d'exécuter le fichier
 - "Read" : permission de lire le fichier

Lorsqu'un fichier possède la permission "Execute File", mais ne possède pas la permission "Read", certains antivirus ne l'analysent pas, et ne détectent donc pas la présence du virus. On peut noter que le dépôt initial de ce fichier, avant le changement de ses permissions, est détecté par l'antivirus.

Un attaquant qui peut déposer un virus sur une partition NTFS peut donc modifier ses droits, afin que le virus soit exécutable, mais ne soit pas détecté par l'antivirus.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2009-3087 CVE-2009-3094 CVE-2009-3095

Multiples produits : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans de nombreux produits.
Produits concernés : Apache httpd, OpenOffice, PowerArchiver, NetWorker, F-PROT AV, FreeBSD, OpenView, OpenView NNM, OpenView Operations, HP Operations, Domino, Kaspersky AV, MySQL Community, MySQL Enterprise, OpenSolaris, OpenSSL, Oracle AS, Oracle Directory Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Solaris, WebLogic, Percona Server, XtraDB Cluster, Samba, Crystal Reports, SAP ERP, NetWeaver, Unix (plateforme) ~ non exhaustif.
Gravité : 1/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du serveur, déni de service du service.
Provenance : client internet.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 04/09/2009.
Dates révisions : 11/09/2009, 26/10/2009.
Références : BID-36242, BID-36243, BID-36248, BID-36250, BID-36252, BID-36253, BID-36254, BID-36257, BID-36258, BID-36263, BID-36267, BID-36285, BID-36286, BID-36813, BID-36818, BID-36819, BID-37640, CERTA-2009-AVI-384, CERTA-2009-AVI-424, CVE-2009-3087, CVE-2009-3094, CVE-2009-3095, CVE-2009-3098, CVE-2009-3099, CVE-2009-3111, CVE-2009-3344, CVE-2009-3345, CVE-2009-3346, CVE-2009-3569, CVE-2009-3570, CVE-2009-3571, CVE-2009-3878, CVE-2009-4481-REJECT, CVE-2009-4484, VIGILANCE-VUL-9000.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans de nombreux produits. Leurs détails techniques ne sont pas connus. Des bulletins individuels seront créés lorsque les détails seront publiés.

Apache mod_proxy_ftp est affecté par deux vulnérabilités : VIGILANCE-VUL-8994 et VIGILANCE-VUL-9038. [grav:1/4; BID-36254, CERTA-2009-AVI-424, CVE-2009-3094, CVE-2009-3095]

EMC Legato NetWorker est affecté par trois vulnérabilités. [grav:1/4]

F-PROT Antivirus est affecté par deux vulnérabilités. [grav:1/4]

FreeBSD est affecté par deux vulnérabilités. [grav:1/4]

FreeRADIUS est affecté par la vulnérabilité VIGILANCE-VUL-9016. [grav:1/4; BID-36263, CERTA-2009-AVI-384, CVE-2009-3111, CVE-2009-4481-REJECT]

HP Operations est affecté par deux vulnérabilités. [grav:1/4; BID-36253, BID-36258, CVE-2009-3098, CVE-2009-3099]

HP OpenView Network Node Manager est affecté par quatre vulnérabilités. [grav:1/4; BID-36248]

Lotus Domino est affecté par six vulnérabilités. [grav:1/4; BID-36257, CVE-2009-3087]

Kaspersky Online Antivirus Scanner est affecté par deux vulnérabilités. L'une de ces vulnérabilités concerne le fichier kos-bin-winnt.jar contenant la DLL kosglue-7.0.26.0.dll qui peut contenir un Cheval de Troie. [grav:1/4; BID-36243]

MySQL est affecté par deux vulnérabilités. L'une d'elles est VIGILANCE-VUL-9380. [grav:1/4; BID-36242, BID-37640, CVE-2009-4484]

OpenOffice est affecté par trois vulnérabilités. [grav:1/4; BID-36285, CVE-2009-3569, CVE-2009-3570, CVE-2009-3571]

OpenSSL est affecté par une vulnérabilité. [grav:1/4]

Oracle WebLogic est affecté par trois vulnérabilités. [grav:1/4]

Oracle Application Server est affecté par cinq vulnérabilités. [grav:1/4]

PowerArchiver est affecté par une vulnérabilité. [grav:1/4]

SAP Crystal Reports est affecté par trois vulnérabilités. [grav:1/4; BID-36267, CVE-2009-3344, CVE-2009-3345, CVE-2009-3346]

SAP NetWeaver est affecté par six vulnérabilités. [grav:1/4; BID-36252]

Samba est affecté par six vulnérabilités. [grav:1/4; BID-36250]

Sun Java System Directory Server est affecté par deux vulnérabilités. [grav:1/4; BID-36286]

Sun Java System Web Proxy Server est affecté par une vulnérabilité. [grav:1/4]

Solaris est affecté par une vulnérabilité. [grav:1/4]

Sun Java System WebServer est affecté par une vulnérabilité. [grav:1/4; BID-36813, CVE-2009-3878]

Solaris est affecté par deux vulnérabilités. [grav:1/4; BID-36818, BID-36819]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 8807

F-PROT Antivirus : contournement via ARJ LHA RAR

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ARJ/LHA/RAR contenant un virus qui n'est pas détecté par les produits F-PROT.
Produits concernés : F-PROT AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/06/2009.
Références : BID-35427, TZO-34-2009, VIGILANCE-VUL-8807.

Description de la vulnérabilité

Les produits F-PROT détectent les virus contenus dans les archives ARJ/LHA/RAR.

Cependant, un attaquant peut créer une archive légèrement malformée, qui peut toujours être ouverte par les outils d'extraction, mais que l'antivirus ne peut pas ouvrir.

Un attaquant peut donc créer une archive ARJ/LHA/RAR contenant un virus qui n'est pas détecté par les produits F-PROT.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 8794

F-PROT Antivirus : contournement via TAR

Synthèse de la vulnérabilité

Un attaquant peut créer une archive TAR contenant un virus qui n'est pas détecté par les produits F-PROT.
Produits concernés : F-PROT AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/06/2009.
Références : BID-35355, TZO-33-2009, VIGILANCE-VUL-8794.

Description de la vulnérabilité

Les produits F-PROT détectent les virus contenus dans les archives TAR.

Cependant, un attaquant peut créer une archive légèrement malformée, qui peut toujours être ouverte par les outils Winzip, mais que l'antivirus ne peut pas ouvrir.

Un attaquant peut donc créer une archive TAR contenant un virus qui n'est pas détecté par les produits F-PROT.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2009-1783

F-PROT Antivirus : contournement via CAB

Synthèse de la vulnérabilité

Un attaquant peut créer une archive CAB contenant un virus qui n'est pas détecté par les produits F-PROT.
Produits concernés : F-PROT AV.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/05/2009.
Références : BID-34896, CVE-2009-1783, TZO-21-2009, VIGILANCE-VUL-8705.

Description de la vulnérabilité

Les produits F-PROT détectent les virus contenus dans les archives CAB.

Cependant, un attaquant peut créer une archive légèrement malformée (en modifiant "Filesize"), qui peut toujours être ouverte par les outils Unzip, mais que l'antivirus ne peut pas ouvrir.

Un attaquant peut donc créer une archive CAB contenant un virus qui n'est pas détecté par les produits F-PROT.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2008-5747

F-Prot AV : déni de service via ELF

Synthèse de la vulnérabilité

Un attaquant peut créer un binaire ELF illicite afin de mener un déni de service et éventuellement de faire exécuter du code dans F-Prot AV.
Produits concernés : F-PROT AV.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/12/2008.
Références : BID-32753, CVE-2008-5747, IVIZ-08-016, VIGILANCE-VUL-8318.

Description de la vulnérabilité

Un attaquant peut créer un binaire ELF illicite afin de mener un déni de service et éventuellement de faire exécuter du code dans F-Prot AV.



Cette vulnérabilité pourrait n'impacter que les versions Linux de l'antivirus.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 7981

F-PROT : déni de service via zip

Synthèse de la vulnérabilité

Un attaquant peut envoyer un fichier zip corrompu à une victime, cela va créer un déni de service.
Produits concernés : F-PROT AV.
Gravité : 1/4.
Conséquences : déni de service du client.
Provenance : document.
Confiance : source unique (2/5).
Date création : 31/07/2008.
Références : BID-30461, VIGILANCE-VUL-7981.

Description de la vulnérabilité

L'antivirus F-PROT vérifie tous les fichiers entrants sur la machine de la victime.

Un attaquant peut envoyer un fichier zip corrompu, qui provoque une boucle infinie dans F-PROT.

Un attaquant peut donc créer un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2008-3243 CVE-2008-3244

F-PROT : multiples dénis de service

Synthèse de la vulnérabilité

Un attaquant peut créer des fichiers malformés afin de stopper F-PROT.
Produits concernés : F-PROT AV.
Gravité : 1/4.
Conséquences : déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/07/2008.
Références : BID-30253, BID-30258, CVE-2008-3243, CVE-2008-3244, n.runs-SA-2008.002, VIGILANCE-VUL-7953.

Description de la vulnérabilité

Quatre vulnérabilités ont été corrigées par la version 4.4.4 du moteur de F-PROT.

Un fichier CHM avec un entête nb_dir valant 0xffffffff provoque une lecture à une adresse mémoire invalide, ce qui stoppe F-PROT. [grav:1/4; BID-30253, CVE-2008-3244, n.runs-SA-2008.002]

Un fichier UPX malformé stoppe le moteur. [grav:1/4; CVE-2008-3243]

Un fichier Microsoft Office malformé provoque une boucle infinie. [grav:1/4]

Sur un processeur 64-bit, un fichier compressé par ASPack stoppe le moteur. [grav:1/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2006-6406 CVE-2006-6407 CVE-2006-6408

Antivirus : contournement via base64

Synthèse de la vulnérabilité

Un attaquant peut employer des données base64 contenant des caractères non attendus afin de contourner certains antivirus.
Produits concernés : ClamAV, Debian, F-PROT AV, F-Secure AV, Kaspersky AV, Mandriva Corporate, Mandriva Linux, openSUSE.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/12/2006.
Date révision : 12/12/2006.
Références : BID-21461, CVE-2006-6406, CVE-2006-6407, CVE-2006-6408, CVE-2006-6409, DSA-1238-1, MDKSA-2006:230, SUSE-SA:2006:078, VIGILANCE-VUL-6374.

Description de la vulnérabilité

L'encodage base64 encode des données en utilisant 64 caractères : A-Z a-z 0-9 + /

La RFC 2045, page 24, indique que le décodeur base64 doit ignorer tous les autres caractères (et devrait avertir l'utilisateur). Ainsi, les espaces, les sauts de ligne, mais aussi les caractères spéciaux doivent être ignorés.

La majorité des clients de messagerie respectent cette RFC, et sont donc aptes à décoder un flux base64 contenant des caractères spéciaux. Cependant, certains antivirus ne reconnaissent pas les données, et ne détectent pas le virus qui est encodé.

Cette vulnérabilité affecte, à des degrés de gravité différents, les produits suivants :
 - BitDefender Mail Protection for SMB 2.0
 - ClamAV 0.88.7
 - F-Prot Antivirus for Linux x86 Mail Servers 4.6.61
 - Kaspersky Anti-Virus for Linux Mail Server 5.5.10
 - F-Secure Anti-Virus for Linux Gateways 4.65
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur F-PROT AV :