Komprimierte Anhänge können Mailserver lahmlegen
Ein schon lange bekannter Trick bringt offenbar mehrere Virenscanner für Linux ins Straucheln.
Moderne Virenscanner finden Viren nicht nur in normalen Mail-Anhängen, sondern auch in komprimierten Archiven. Um dies zu schaffen, müssen sie die Archive entpacken.
Nun ist allgemein bekannt, daß man Dateien, die aus identischen Zeichen bestehen, sehr gut komprimieren kann. Zwei Milliarden Nullen oder andere Zahlen lassen sich in eine kleine Datei komprimieren und bequem per Mail versenden. Wenn diese »Mailbombe« nun durch einen Virenscanner geht, prüft dieser, wie groß die entpackte Datei sein wird, und ergreift Maßnahmen, wenn die Systemressourcen, beispielsweise der Platz im /tmp-Verzeichnis, nicht reichen.
Bei bzip2-komprimierten Dateien ist diese Information nicht in der komprimierten Datei enthalten. Andere Formate sind nicht unbedingt besser, da sie zwar Größenangaben enthalten, diese aber nachträglich manipuliert werden können (ZIP zum Beispiel). Erstaunlicherweise haben nun einige Virenscanner für Linux Probleme, da sie keine Größenbeschränkung für die entpackte Datei haben. Dies kann für einen Denial-of-Service-Angriff ausgenutzt werden. Neben der hohen CPU-Belastung besteht das Risiko, daß ein Dateisystem volläuft, was das weitere Scannen behindern oder auch das System in Schwierigkeiten bringen kann.
Betroffene Scanner sind Kaspersky AntiVirus for Linux 5.0.1.0, Trend Micro InterScan VirusWall 3.8 Build 1130 und McAfee Virus Scan for Linux v4.16.0. Andere Scanner sowie andere Versionen dieser Scanner können ebenfalls betroffen sein. (Dank an Andreas Wozniak.)
