рэліз свабоднага антывіруснага пакета , у якім ліквідаваны тры :
- - непрывілеяванаму лакальнаму атакаваламу арганізаваць выдаленне або перасоўванне адвольных файлаў у сістэме, напрыклад, можна выдаліць /etc/passwd не маючы на тое неабходных паўнамоцтваў. Уразлівасць выклікана станам гонкі, які ўзнікае пры сканаванні шкоднасных файлаў і што дазваляе карыстачу з shell-доступам у сістэме падмяніць мэтавы каталог для сканавання на сімвалічную спасылку, якая паказвае на іншы шлях.
Напрыклад, атакавалы можа стварыць каталог "/home/user/exploit/" і загрузіць у яго файл з тэставай сігнатурай віруса, назваўшы гэты файл "passwd". Пасля запуску праграмы сканавання вірусаў, але перад выдаленнем праблемнага файла, можна замяніць каталог "exploit" на сімвалічную спасылку, якая паказвае на каталог "/etc", што прывядзе да выдалення антывірусам файла /etc/passwd. Уразлівасць выяўляецца толькі пры выкарыстанні clamscan, clamdscan і clamonacc з опцыяй -move або remove.
- CVE-2020-3327, CVE-2020-3481 – уразлівасці ў модулях разбору архіваў у фармаце ARJ і EGG, якія дазваляюць ажыццявіць адмову ў абслугоўванні праз перадачу спецыяльна аформленых архіваў, апрацоўка якіх прывядзе да краху сканавальнага працэсу.
Крыніца: opennet.ru