debianforum.de

Hallo, nach einem clamtk - San von / habe ich untenstehede Meldung erhalten:

ClamTk, v4.45
Sun Aug 17 10:20:43 2014
ClamAV-Signaturen: 3515382
1 wahrscheinlich infizierte Bedrohung gefunden (125329 Dateien untersucht).
/usr/lib/libgdal.so.1.17.1 BC.Exploit.CVE_2012_1888

Der PC ist frisch, für einen Bekannten aufgesetzt.
Auf meinem PC (gleiches Debian) wird libgdal.so.1.17.1 ebenfalls als Exploit erkannt.
Ein Scan dieser Datei bei virustotal bringt nur für clamav eine Schadsoftware Warnung, alle anderen dort angebotenen Virenscanner geben grünes Licht.


System: aktuelles debian testing 3.14-2-amd64

Vielleicht kann mir jemand helfen. Danke.

Naja, CVE-2012-1888 hat erstmal gar nix mit gdal zu tun, von dem her würde ich mir keine Sorgen machen und das höchstens als Bug an ClamAV melden...

MfG Peschmä

Installiere mal debsums und schau dir Folgendes an: Dort sollte für /usr/lib/libgdal.so ein OK stehen. Für den Rest hoffentlich auch
Nachtrag: scheinbar nur ein symbolische Link, schau dir lieber Ergebnis für libgdal.so.1.17.1 an.

Paketdownload manuell z.B.: http://ftp.de.debian.org/debian/pool/ma ... _amd64.deb

Komisch in dem Paket konnte ich die libgdal.so-Datei nicht finden. In "md5sums" hätte ich deren Prüfsumme vermutet. Im data-Bereich steht nur libgdal.so -> libgdal.so.1.17.1

Verweist scheinbar auf libgdal1h

http://ftp.de.debian.org/debian/pool/ma ... _amd64.deb

MD5-Prüfsumme laut Paketverwaltung: Also was sagt: Ich gehe davon aus, dass der Wert übereinstimmt. Somit ist deine Paketverwaltung in Ordnung und wenn dann müsste schon der Maintainer den Schadcode in die Datei eingebracht werden. Ich denke somit eher ein False-Positive.

Cool, bin aber gerade an meinem Wheezy Notebook. Die besagte libgdal.so.1.17.1 hatte ich mir auf einen
Stick kopiert und "md5sum libgdal.so.1.17.1" bringt 5225d37727fb2d8c912b84c02f9d21fc
also identisch mit Paketverwaltung.

Man ist das Klasse (hatte vor 2 Jahren noch XP)
Hab das bei bugzilla reingestellt. Mal sehen was passiert.

Danke für Eure Hilfen.