在 Oracle 的 java 中在 Fedora 21 上使用 clamav 漏洞利用 FOUND
我正在使用 Clamav 掃描我的一個系統,如下所示:
$ clamscan -r -i --remove --max-filesize=4000M --max-scansize=4000M \ --exclude=/proc --exclude=/sys --exclude=/dev --bytecode-timeout=190000它剛剛在我的下載目錄中發現了一個病毒:
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Java.Exploit.CVE_2013_2472 FOUND /home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Removed.這種惡意軟體的危害是什麼?
我從 Oracle 官方網站下載了這個文件,所以我不明白它是如何被感染的。是否有人在此文件進入我的系統之前對其進行了操作,並且我在我的 Fedora 上安裝了某種惡意軟體?
我從系統中刪除了有問題的 Java,並從儲存庫中啟動了 openjdk。
來自甲骨文的資訊:
摘抄:
CVE-2013-2472 Oracle Java SE 的 Java 執行時環境組件中的漏洞(子組件:2D)。受影響的受支持版本為 7 Update 21 及之前版本、6 Update 45 及之前版本以及 5.0 Update 45 及之前版本。易於利用的漏洞允許通過多種協議成功進行未經身份驗證的網路攻擊。成功攻擊此漏洞可能導致未經授權的作業系統接管,包括執行任意程式碼。
注意:僅適用於 Java 的客戶端部署。只能通過沙盒 Java Web Start 應用程序和沙盒 Java 小程序利用此漏洞。
CVSS 基本分數 10.0(機密性、完整性和可用性影響)。CVSS V2 向量:(AV:N/AC:L/Au:N/C:C/I:C/A:C)。(傳奇)
$$ Advisory $$
這裡的程序是什麼,這是Linux病毒嗎?注意“導致未經授權的作業系統接管”。
編輯#1
以下是掃描結果:
/home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Java.Exploit.CVE_2013_2472 FOUND /home/user/Downloads/jdk-8u31-linux-x64.tar.gz: Removed. /usr/share/nmap/scripts/irc-unrealircd-backdoor.nse: Unix.Trojan.MSShellcode-21 FOUND /usr/share/nmap/scripts/irc-unrealircd-backdoor.nse: Removed. ----------- SCAN SUMMARY ----------- Known viruses: 3791398 Engine version: 0.98.6 Scanned directories: 103265 Scanned files: 746031 Infected files: 2 Total errors: 18624 Data scanned: 330294.49 MB Data read: 367850.33 MB (ratio 0.90:1) Time: 33458.657 sec (557 m 38 s) 17 April 2015ClamAV 說有兩種感染,根據@dhag 的說法,情況並非如此,一種是 Java 中的漏洞利用/漏洞……我很好奇為什麼掃描經常從 nmap 目錄中刪除腳本。我懷疑這不是惡意軟體,而是與腳本功能有關。
我認為該消息
Java.Exploit.CVE_2013_2472 FOUND意味著此安裝程序適用於受您發布描述的安全錯誤影響的 Java 版本。如果是這樣,它根本就不是病毒,只是一些合法但危險的軟體。我會說來自 ClamAV 的消息有點令人困惑,刪除受影響文件的操作可能不是最明智的,但這有待商榷。