Hallo, nach einem clamtk - San von / habe ich untenstehede Meldung erhalten:
ClamTk, v4.45
Sun Aug 17 10:20:43 2014
ClamAV-Signaturen: 3515382
1 wahrscheinlich infizierte Bedrohung gefunden (125329 Dateien untersucht).
/usr/lib/libgdal.so.1.17.1 BC.Exploit.CVE_2012_1888
Der PC ist frisch, für einen Bekannten aufgesetzt.
Auf meinem PC (gleiches Debian) wird libgdal.so.1.17.1 ebenfalls als Exploit erkannt.
Ein Scan dieser Datei bei virustotal bringt nur für clamav eine Schadsoftware Warnung, alle anderen dort angebotenen Virenscanner geben grünes Licht.
System: aktuelles debian testing 3.14-2-amd64
Vielleicht kann mir jemand helfen. Danke.
Exploit in libgdal.so
Exploit in libgdal.so
Das Glück kommt zu denen, die lachen.
- peschmae
- Beiträge: 4844
- Registriert: 07.01.2003 12:50:33
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: nirgendwo im irgendwo
Re: Exploit in libgdal.so
Naja, CVE-2012-1888 hat erstmal gar nix mit gdal zu tun, von dem her würde ich mir keine Sorgen machen und das höchstens als Bug an ClamAV melden...
MfG Peschmä
MfG Peschmä
"er hätte nicht in die usa ziehen dürfen - die versauen alles" -- Snoopy
Re: Exploit in libgdal.so
Installiere mal debsums und schau dir Folgendes an:
Dort sollte für /usr/lib/libgdal.so ein OK stehen. Für den Rest hoffentlich auch
Nachtrag: scheinbar nur ein symbolische Link, schau dir lieber Ergebnis für libgdal.so.1.17.1 an.
Paketdownload manuell z.B.: http://ftp.de.debian.org/debian/pool/ma ... _amd64.deb
Komisch in dem Paket konnte ich die libgdal.so-Datei nicht finden. In "md5sums" hätte ich deren Prüfsumme vermutet. Im data-Bereich steht nur libgdal.so -> libgdal.so.1.17.1
Verweist scheinbar auf libgdal1h
http://ftp.de.debian.org/debian/pool/ma ... _amd64.deb
MD5-Prüfsumme laut Paketverwaltung:
Also was sagt:
Ich gehe davon aus, dass der Wert übereinstimmt. Somit ist deine Paketverwaltung in Ordnung und wenn dann müsste schon der Maintainer den Schadcode in die Datei eingebracht werden. Ich denke somit eher ein False-Positive.
Code: Alles auswählen
debsums libgdal-dev
Nachtrag: scheinbar nur ein symbolische Link, schau dir lieber Ergebnis für libgdal.so.1.17.1 an.
Paketdownload manuell z.B.: http://ftp.de.debian.org/debian/pool/ma ... _amd64.deb
Komisch in dem Paket konnte ich die libgdal.so-Datei nicht finden. In "md5sums" hätte ich deren Prüfsumme vermutet. Im data-Bereich steht nur libgdal.so -> libgdal.so.1.17.1
Verweist scheinbar auf libgdal1h
http://ftp.de.debian.org/debian/pool/ma ... _amd64.deb
MD5-Prüfsumme laut Paketverwaltung:
Code: Alles auswählen
5225d37727fb2d8c912b84c02f9d21fc usr/lib/libgdal.so.1.17.1
Code: Alles auswählen
md5sum /usr/lib/libgdal.so.1.17.1
Re: Exploit in libgdal.so
Cool, bin aber gerade an meinem Wheezy Notebook. Die besagte libgdal.so.1.17.1 hatte ich mir auf einen
Stick kopiert und "md5sum libgdal.so.1.17.1" bringt 5225d37727fb2d8c912b84c02f9d21fc
also identisch mit Paketverwaltung.
Man ist das Klasse (hatte vor 2 Jahren noch XP)
Hab das bei bugzilla reingestellt. Mal sehen was passiert.
Danke für Eure Hilfen.
Stick kopiert und "md5sum libgdal.so.1.17.1" bringt 5225d37727fb2d8c912b84c02f9d21fc
also identisch mit Paketverwaltung.
Man ist das Klasse (hatte vor 2 Jahren noch XP)
Hab das bei bugzilla reingestellt. Mal sehen was passiert.
Danke für Eure Hilfen.
Das Glück kommt zu denen, die lachen.