Vous êtes sur le site public du Cert-IST
Fichiers compressés et anti-virus

Date :22 Juin 2005

Publication: Article

Ce mois-ci, le site allemand "AeraSec" a publié un article sur les problèmes liés au traitement par les logiciels anti-virus des fichiers de grande taille.

Les tests conduits par "AeraSec" ont permis d’étudier les capacités des anti-virus (ou outils associés) à traiter des fichiers de grande taille (jusqu'à 100Gbits), compressées par des outils tels que "gzip" ou "bzip2" ou des fichiers multimédias spécifiques (image de grande taille, …).

Les tests ont été effectués sur les produits suivants (en majorité sur des versions Unix) :

  • Trend Micro InterScan Viruswall pour Linux/Solaris/Sendmail Switch/AIX/HP-UX/Windows NT,
  • McAfee Virus Scan pour Linux,
  • Kaspersky AntiVirus pour Linux,
  • F-PROT AntiVirus pour Linux,
  • AmaViS (Unix),
  • Bitdefender pour Linux,
  • Sophos Sweep Version 3.77 (Janvier 2004) pour Linux,
  • H+BEDV Central Command AntiVir pour Linux.

Les résultats ont montré que suivant les versions des produits cités ci-dessus, les fichiers testés pouvaient provoquer l'arrêt des anti-virus (déni de service), par consommation excessive de mémoire ou d'espace disque.

Il est à noter que la solution de TrendMicro se trouve impactée de façon générique vis-à-vis de ce problème (toutes les versions indépendamment du système d'exploitation étaient vulnérables).

Néanmoins, l'éditeur a fourni un palliatif qui limite le traitement des fichiers de grande taille. Un avis Cert-IST (CERT-IST/AV-2004.040) a été publié à ce sujet.

Concernant les autres produits, des palliatifs ont également été proposés pour limiter l'impact de ce problème (se reporter à l'article ci-dessous).Cependant, étant donné que les versions Linux des anti-virus impactés ne sont pas suivies par le Cert-IST, aucun autre avis de sécurité n'a été publié à ce sujet.

Pour plus d'information : http://www.aerasec.de/security/advisories/decompression-bomb-vulnerability.html