Kritische Sicherheitslücke in ClamAV (CVE-2023-20032)

Es gibt eine kritische Sicherheitslücke in ClamAV mit der CVE Nummer CVE-2023-20032 und alle Nutzer dieser Software sollten dringend auf eine abgesicherte Version aktualisieren. Da ClamAV in sehr vielen Softwareprodukten eingebaut ist, ist eine große Anzahl von Systemen betroffen. Bedauerlicher Weise gibt es aktuell noch nicht für alle Systeme entsprechende Updates. Da sehr viele oder von mir verantworteten Systeme betroffen waren, hier eine kurze Zusammenfassung der Information über die ich so gestolpert bin. Eventuell hilft es ja dem einen oder anderen.

Liste der bei mir betroffenen Systeme

Anbei eine Liste der System, die bei mir betroffen waren und der Link zu den Updates, welche die Sicherheitslücke schließen.

HerstellerNameAbgesicherte VersionLink zu dem Update
CiscoClamAV0.103.8, 0.105.2, 1.0.1https://blog.clamav.net/2023/02/clamav-01038-01052-and-101-patch.html
CiscoSecure Endpoint, formerly Advanced Malware Protection (AMP)1.20.2, 1.21.1, 7.5.9, 8.1.5https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-q8DThCy
DebianDebian Linux0.103.8+dfsg-0+deb10u1, 0.103.8+dfsg-0+deb11u1https://security-tracker.debian.org/tracker/CVE-2023-20032
mailcowmailcow2023-02ahttps://github.com/mailcow/mailcow-dockerized/releases/tag/2023-02a
NextCloudNextCloudsiehe LinuxVerwendet die ClamAV Version die im darunter liegenden Betriebssystem installiert ist. Bei mir muss das Update deshalb von Debian/Ubuntu kommen.
RSARSA Authentication Managersiehe LinuxVerwendet die ClamAV Version die im darunter liegenden SuSE Linux Betriebssystem installiert ist. https://www.suse.com/de-de/security/cve/CVE-2023-20032.html
RSARSA Identity Routersiehe LinuxVerwendet die ClamAV Version die im darunter liegenden SuSE Linux Betriebssystem installiert ist. https://www.suse.com/de-de/security/cve/CVE-2023-20032.html
rspamdrspamdsiehe LinuxVerwendet die ClamAV Version die im darunter liegenden Betriebssystem installiert ist. Bei mir muss das Update deshalb von Debian/Ubuntu kommen.
SuSESuSE Linux0.103.8-150000.3.44.1, 0.103.8-33.53.1, 0.103.8-1.1https://www.suse.com/de-de/security/cve/CVE-2023-20032.html
SynologyAntivirus Essential1.5.4-3099https://www.synology.com/en-us/security/advisory/Synology_SA_23_01
SynologyMailPlus Server3.1.0-11318https://www.synology.com/de-de/releaseNote/MailPlus-Server
UbuntuUbuntu Linux0.103.8+dfsg-0ubuntu0.22.04.1https://ubuntu.com/security/CVE-2023-20032

Zeitlicher Ablauf

Bereits am Mittwoch den 15.02.2023 wurde der Artikel “ClamAV 0.103.8, 0.105.2 and 1.0.1 patch versions published” im Blog von ClamAV veröffentlicht. In diesem wurde von einer möglichen Ausführung von Code durch die kritische Sicherheitslücke und den abgesicherten Versionen berichtet. Dieser Beitrag fand aber noch kein großes Echo in den einschlägigen Kommunikationskanälen und deshalb bin ich noch nicht drüber gestolpert.

Am Freitag den 17.02.2023 erschien Mittags dann der Artikel “Open-Source-Virenschutz ClamAV gegen Schadcode-Attacke gerüstet” bei Heise Security, welcher die Admins zum sofortigen aktualisieren der betroffenen Systeme auffordert. Begründet wurde dies mit einem Cisco Security Advisory, in welchem das Update dringlichst empfohlen und ein CVSS Base Score von 9.8 genannt wird. Der Score geht nur bis 10. Die Sicherheitslücke also fast die volle Punktzahl erreicht! Zudem zeigt die Erfahrung, wenn Heise Security zum paschen aufruft, sollte man das auch schnell machen. Ansonsten bekommt man früher oder später ungewollten Besuch. Ich bin somit hoch motiviert sofort zu patchen. Dummer Weise gab es zu diesem Zeitpunkt aber noch keine Updates für die meisten betroffenen Systeme.

Am Samstag den 18.02.2023 veröffentlicht zumindest die von mit eingesetzte mailcow ein Update auf GitHub. Die Updates bei Debian und Ubuntu lassen aber leider weiter auf sich warten.

Erst am Montag den 20.02.2023 um 16:00 Uhr erscheint das Update im security Repository von Debian 10 (buster) und später für die Debian Version 11 (bullseye), Debian 12 (bookworm) und diverse SuSE Linux Versionen. Für Ubuntu erscheinen immer noch keine Updates. Bei Ubuntu steht das Securityupdate immer noch „Needs triage“ mit einer Priorität von gerade mal Medium. Derweil diskutieren die Launchpad User bereits darüber das Ubuntu Update selber zu bauen.

Einen Tage später meldet Ubuntu im Lounchpad, dass man an einem Update arbeitet und zwei Tage späte wir das Update zumindest fertig gestellt und in das “security-proposed” Repository zum testen hochgeladen.

Am 22.02.2023 bringt Synology (der bekannte Hersteller von NAS Systemen) eine Abgesicherte Version von “MailPlus Server” raus. Bei Ubuntu steht die Lücke immer nich auf Prio “Medium” und die User werden zunehmend nervös. Ubuntu teilt den nervösen Benutzern etwas später mit, dass dies Update länger dauert, da es sich bei der Software nicht nur um ein Sicherheitsupdate handelt und eine komplett neue Version installiert werden muss. Dies erfordert laut Ubuntu deutlich mehr Zeit zum testen.

Am Morgen des 27.02.2023, erste ganze 12 Tage nach dem bekannt werden der Sicherheitslücke, erscheint das abgesicherte Paket für die aktuelle LTS Version 22.04 von Ubuntu. Im laufe des Tages wird auch die Webseite aktualisiert und der Bug bekommt die Status “Fix Released”.

Fazit

Es kann bei der aktuellen LTS Version von Ubuntu offensichtlich bis zu 12 Tage dauern, bis ein Update für eine Sicherheitslücke mit einem CVSS Base Score von 9.8 rauskommt. Ich verstehe, dass eine Distribution von vielen Freiwilligen abhängig ist und das rausbringen von solchen Updates nicht immer trivial ist. 12 Tage sind bei einer solch krassen Sicherheitslücke aber einfach zu lange. Das darf nicht die Regel werden. Ich hoffe, dass dies jetzt eine absolute Ausnahme war und zukünftig wieder schneller geht.


Beitrag veröffentlicht

in

von

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

WordPress Cookie Hinweis von Real Cookie Banner