Exploit in libgdal.so

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
debtux
Beiträge: 19
Registriert: 17.01.2014 19:31:45

Exploit in libgdal.so

Beitrag von debtux » 17.08.2014 12:24:22

Hallo, nach einem clamtk - San von / habe ich untenstehede Meldung erhalten:

ClamTk, v4.45
Sun Aug 17 10:20:43 2014
ClamAV-Signaturen: 3515382
1 wahrscheinlich infizierte Bedrohung gefunden (125329 Dateien untersucht).
/usr/lib/libgdal.so.1.17.1 BC.Exploit.CVE_2012_1888

Der PC ist frisch, für einen Bekannten aufgesetzt.
Auf meinem PC (gleiches Debian) wird libgdal.so.1.17.1 ebenfalls als Exploit erkannt. 8O
Ein Scan dieser Datei bei virustotal bringt nur für clamav eine Schadsoftware Warnung, alle anderen dort angebotenen Virenscanner geben grünes Licht.


System: aktuelles debian testing 3.14-2-amd64

Vielleicht kann mir jemand helfen. Danke.
Das Glück kommt zu denen, die lachen.

Benutzeravatar
peschmae
Beiträge: 4844
Registriert: 07.01.2003 12:50:33
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: nirgendwo im irgendwo

Re: Exploit in libgdal.so

Beitrag von peschmae » 17.08.2014 12:58:00

Naja, CVE-2012-1888 hat erstmal gar nix mit gdal zu tun, von dem her würde ich mir keine Sorgen machen und das höchstens als Bug an ClamAV melden...

MfG Peschmä
"er hätte nicht in die usa ziehen dürfen - die versauen alles" -- Snoopy

uname
Beiträge: 9542
Registriert: 03.06.2008 09:33:02

Re: Exploit in libgdal.so

Beitrag von uname » 17.08.2014 14:37:09

Installiere mal Debiandebsums und schau dir Folgendes an:

Code: Alles auswählen

debsums libgdal-dev
Dort sollte für /usr/lib/libgdal.so ein OK stehen. Für den Rest hoffentlich auch ;-)
Nachtrag: scheinbar nur ein symbolische Link, schau dir lieber Ergebnis für libgdal.so.1.17.1 an.

Paketdownload manuell z.B.: http://ftp.de.debian.org/debian/pool/ma ... _amd64.deb

Komisch in dem Paket konnte ich die libgdal.so-Datei nicht finden. In "md5sums" hätte ich deren Prüfsumme vermutet. Im data-Bereich steht nur libgdal.so -> libgdal.so.1.17.1

Verweist scheinbar auf Debianlibgdal1h

http://ftp.de.debian.org/debian/pool/ma ... _amd64.deb

MD5-Prüfsumme laut Paketverwaltung:

Code: Alles auswählen

5225d37727fb2d8c912b84c02f9d21fc  usr/lib/libgdal.so.1.17.1
Also was sagt:

Code: Alles auswählen

md5sum /usr/lib/libgdal.so.1.17.1
Ich gehe davon aus, dass der Wert übereinstimmt. Somit ist deine Paketverwaltung in Ordnung und wenn dann müsste schon der Maintainer den Schadcode in die Datei eingebracht werden. Ich denke somit eher ein False-Positive.

debtux
Beiträge: 19
Registriert: 17.01.2014 19:31:45

Re: Exploit in libgdal.so

Beitrag von debtux » 17.08.2014 20:24:16

Cool, bin aber gerade an meinem Wheezy Notebook. Die besagte libgdal.so.1.17.1 hatte ich mir auf einen
Stick kopiert und "md5sum libgdal.so.1.17.1" bringt 5225d37727fb2d8c912b84c02f9d21fc
also identisch mit Paketverwaltung.

Man ist das Klasse (hatte vor 2 Jahren noch XP)
Hab das bei bugzilla reingestellt. Mal sehen was passiert.

Danke für Eure Hilfen.
Das Glück kommt zu denen, die lachen.

Antworten