[Postfixbuch-users] gelesen auf heise.de

[Giuseppe Potenza]

Hallo Admins,

gibt es hierzu erfahrungen:


Kompressionsbomben gefährden Antivirenscanner

Einer Untersuchung des Sicherheitsdienstleisters AEARAsec zufolge sind 
einige Antivirenscanner anfällig für Denial-of-Service-Attacken durch so 
genannte bzip2-Kompressionsbomben. Kompressionsbomben entstehen beim 
Packen sehr großer Dateien, die beispielsweise nur aus Nullen bestehen 
-- 2 GByte Nullen lassen sich hervorragend komprimieren. Der 
resultierenden, verhältnismäßig kleinen Datei sieht man ihre wahre Größe 
auf den ersten Blick nicht an. Erst beim Auspacken füllt sie die 
Festplatte des Rechners. Die Zeit zum Schreiben von 2 GByte Daten ist 
ebenfalls nicht unerheblich.   
Damit ein Virenscanner in eine gepackte Datei hineinschauen kann, muss 
er den Inhalt temporär entpacken. Da Kompressionsbomben seit langem 
bekannt sind, lassen sich die meisten Virenscanner nicht mehr 
austricksen. Vor dem Auspacken fragen sie in ZIP-Dateien enthaltene 
Informationen ab, wie groß die Datei ursprünglich war. Überschreitet 
diese ein Limit, kommt die Datei in Quarantäne. In bzip2-gepackte 
Dateien sind keine Informationen über die wahre Größe enthalten, sodass 
der Scanner einfach auspacken muss. Einige Produkte überprüfen aber 
nicht, ob dabei ein gewisse Größe überschritten wird und entpacken 
munter drauf los -- entweder, bis die Datei vollständig dekomprimiert 
oder bis die Festplatte voll ist. Für Kaspersky Anti-Virus für Linux 
5.0.1.0, Trend Micro InterScan VirusWall 3.8 Build 1130 und McAfee Virus 
Scan für Linux 4.16.0 wurde das Problem bestätigt, die Produkte anderer 
Hersteller können ebenfalls betroffen sein. Die Virenscanner verbrauchen 
erhebliche Ressourcen, um solchen Dateien zu scannen. Wird der Scanner 
beispielsweise zum Prüfen von Mails eingesetzt, kann der E-Mail-Verkehr 
dann schnell ins Stocken geraten.

Eine Lösung für das Problem gibt es derzeit nicht. Als Workaround 
sollten Administratoren bzip2-Dateien blockieren.

gruss

Giuseppe