Clamav блокирует все .doc файлы?

Question

[Nick]

После обновления 10.08.2016 Clamav 0.99.2 начал упорно находить во всех doc'овских файлах уязвимость Win.Exploit.CVE_2016_3316-1.
Обновил MS Office 2013, создал пустой doc, просканил. Уязвимость присутствует.

На docx не срабатывает.

Кто-нить сталкивался, как бороться?

Answer 1

[izyk]

Такая же фигня. Я написал clamav - https://www.clamav.net/reports/fp.
Ответа не получил, но.

Исправлено - точнее убрали из базы(Thu Aug 11 10:57:12 MSK 2016).

main.cvd is up to date (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer)
daily.cld is up to date (version: 22066, sigs: 500202, f-level: 63, builder: neo)
bytecode.cld is up to date (version: 283, sigs: 53, f-level: 63, builder: neo)

Comments

[Lanccc]

Отпиши если придёт ответ, интересно что это было

Answer 2

[alexhemp]

Я решил проблему временно добавив "Win.Exploit.CVE_2016_3316-1" в local.ign2

можно сделать так

echo "Win.Exploit.CVE_2016_3316-1" >> /var/db/clamav/local.ign2
И после этого перезапустить clamd

Ну соотв. путь к базам clamav нужно поменять на актуальный, например для linux это чаще всего будет /var/lib/clamav

Это обходное решение до тех пор пока не исправят проблему

Comments

[name name2]

Спасибо! большое человеческое

[war_007]

А как поменять путь к базам?

Answer 3

[Larry_Flint]

Временно решил эту проблему так: hup.hu/node/148888
Буду ждать ответа вендора.

Answer 4

[Владимир Мартьянов]

При любых ложных срабатываниях нужно писать вендору.

Answer 5

[ameagle]

Проблема таже держите в курсе.

Answer 6

[Вячеслав Николаев]

Самое смешное, что вирустотал не находит ничего.

PS:
И непонятно - когда починят. Обновления баз идут, а проблема остаётся.

Answer 7

[regs]

https://technet.microsoft.com/en-us/library/securi...

Бюллетень от МС датированная вчерашним числом. Не стоит ждать исправления, а стоит просто перевести на docx или odt.

Comments

[Вячеслав Николаев]

Перевести формат? И всем, кто нам пишут - тоже написать, что обычным doc теперь нельзя пользоваться?

[Nick]

Перевести на docx или odt это конечно хорошо, но когда куча народу работает благодаря мышечной памяти на компах, которым давно пора уже было преставиться, то сложно этих юзверей уговорить делать что-то не так как раньше. Нервы дороже.
Если МТА настроен на проверку писем Clam'ом, то письма с вложенными .doc'ами также не отправляются и походу не принимаются.

[izyk]

Все же не правильно определять нормальный файл как уязвимый. Только в случае СПЕЦИАЛЬНО сформированного файла должна сработать сигнатура. Иначе, самое простое вообще всем перейти на формат txt - надежно. Я думаю clamav исправят, возможно вместе с обновлением самого антивируса, если текущий не может правильно отсеять такие файлы . Иначе зачем вообще нужен антивирус. Ясно что никто не откажется от "doc" файлов.

[izyk]

Кстати
This vulnerability is currently undergoing analysis and not all information is available.
Please check back soon to view the completed vulnerability summary.
Вот отсюда https://web.nvd.nist.gov/view/vuln/detail?vulnId=C...

[Вячеслав Николаев]

izyk: непонятно, куда clamav-ники поторопились. добавляя себе в базу эту сигнатуру. тем более, что в описании MS написано, что только определённые версии Word подвержены этой проблеме. а clamav не пропускает документы, созданные практически в любой доступной сейчас версии Word.

[regs]

Вячеслав Николаев: Я думаю ClamAV принципиально блокирует устаревший уязвимый формат, поскольку не все обновляют офис.

[vanoc]

regs: маловероятно

[izyk]

Оттестируют на бесплатных юзерах, накопят статистику и исправят.

[Вячеслав Николаев]

regs: я пробовал в офисе 2016 создавать документ с содержанием "12345" - clamav его не пропустил. 2016 Word - куда уж свежее.

[izyk]

Вячеслав Николаев: Не ошибается только тот, кто ничего не делает.

[regs]

Вячеслав Николаев: В бюллетене написано, что подвержен и 2016. Нужно последнее обновление от вторника.

[Вячеслав Николаев]

izyk: К чему это Вы написали? regs написал, что не все обновляют офис. Я ответил, что пробовал и на "свежем".

[Вячеслав Николаев]

regs: Я читал бюллетень. Просто пробовал устанавливать рекомендуемые обновления только для 2003-го. Они "оказались" уже у меня установлены. Что-то обновлять для 2016-го офиса не пробовал.

[izyk]

Вячеслав Николаев: Здесь плохой интерфейс. Жаль что цитату вставить негде, и не ясно к какому комменту отвечаешь. Вы писали: "непонятно, куда clamav-ники поторопились. добавляя себе в базу эту сигнатуру".
Я ответил: "Не ошибается только тот, кто ничего не делает".
Все, конец истории.

[izyk]

Вячеслав Николаев:
И я читал бюллетень. 2003 - не поддерживается, сам на нем сижу. Скорее всего он уязвим, и исправлять не будут, хотя 2007 неуязвим 2003 может тоже. Исправления только от 2007 (Который не подвержен Win.Exploit.CVE_2016_3316-1). На сколько я понял.

[Вячеслав Николаев]

izyk: Насчёт куда поторопились... Я написал это в связи с тем, что никакие из пятидесяти с хвостиком антивирусов не определяют наличие в документе этого эксплойта. А насчёт того, что нет неошибающихся... Могу припомнить несколько случаев, когда лицензионный Каспер "давал жизни". :)

Answer 8

[Антон Б]

В clamwin на hmailserver беда все док файлы блочит
в C:\ProgramData\.clamwin\db\daily.cld
удалил строку с "Win.Exploit.CVE_2016_3316-1..........."
Все теперь не блочит.

Comments

[Nick]

я думаю freshclam исправит твой "костыль"

[Антон Б]

Nick: я проверял, нажимал обновить, ниче не исправляет, строка не добавляется

[Nick]

может быть в винде по другому, но лине, после изменения файла daily.cld, freshclam выругался на его контрольную сумму, и вообще не стал обновлять этот файл

Answer 9

[oldcomp-ru]

Пожалуйста подскажите
Где сей файл /var/db/clamav/local.ign2 во freebsd ?

Файлик собственно вот тут /var/db/clamav/local.ign2

для поиска freebsd whitelist clamav local.ign2

и для закуски собственно завирусованные письма лежат в базе Mysql
как их найти запрос такой к базе amvisd

select mail_id,secret_id,quar_type from msgs where mail_id="ChRQj9iij3-V";

Значение mail_id находим в логах почты

Далее подключаемся к amvisd

telnet localhost 9998
Trying 127.0.0.1...
Connected to localhost
Escape character is '^]'.

и просим таки переслать письма таким запросом

request=release
mail_id=ChRQj9iij3-V
secret_id=cJ4pqKXdlmId
quar_type=Q

и пошли письма- то пошли !!!

Comments

[Вячеслав Николаев]

Обычно он пустой. Вернее - отсутствует

[vanoc]

по дефолту файла нет, но ты можешь его создать.

не скажу как во фряхе, а в центоси он здесь /var/lib/clamav/local.ign2

[Nick]

просто выполни команду echo "Win.Exploit.CVE_2016_3316-1" >> /var/db/clamav/local.ign2
он создастся автоматически

[Lanccc]

на debian
echo "Win.Exploit.CVE_2016_3316-1" >> /var/lib/clamav/local.ign2
/etc/init.d/clamav-daemon restart

Answer 10

[war_007]

Добрый день. Не знаете как долго это временное решение echo "Win.Exploit.CVE_2016_3316-1" >> /var/lib/clamav/local.ign2
/etc/init.d/clamav-daemon restart будет присутствовать?

Comments

[alexhemp]

Пока в clamav не исправят. Я планирую проверять каждый день (на локальной машине) пустой doc файл, пока он не начнет проходить проверку, потом удалю

[izyk]

Исправлено.

[war_007]

всё исправили?? Можно это исключение удалять?

[war_007]

izyk: всё исправили?? Можно это исключение удалять?

[izyk]

Да. Базы надо только обновить.

[war_007]

izyk: получается я удаляю этот файл, перезагружаю clamav и обновляю его.

[izyk]

war_007:
freshclam
rm /var/lib/clamav/local.ign2
/etc/init.d/clamav-daemon restart

[war_007]

izyk: я просто особо не силён в этом. В первую очередь команду freshclam. Затем rm /var/lib/clamav/local.ign2. А потом рестарт?? Уж прости.

[izyk]

war_007: Yes. It is.

[war_007]

izyk: Thank you:)