Gipatik sa Cisco ang bag-ong mga pagpagawas sa libre nga antivirus package nga ClamAV 1.0.1, 0.105.3 ug 0.103.8, nga nagwagtang sa usa ka kritikal nga pagkahuyang (CVE-2023-20032) nga mahimong mosangput sa pagpatuman sa code kung mag-scan sa mga file nga adunay espesyal nga gidisenyo nga mga imahe sa disk sa. ClamAV HFS+ nga pormat.
Ang pagkahuyang tungod sa kakulang sa husto nga pagsusi sa gidak-on sa buffer, nga nagtugot kanimo sa pagsulat sa imong datos sa usa ka lugar nga lapas sa utlanan sa buffer ug pag-organisar sa pagpatuman sa code nga adunay mga katungod sa proseso sa ClamAV, pananglitan, pag-scan sa mga file nga gikuha gikan sa mga sulat sa usa ka mail server. Ang pagmantala sa mga update sa package sa mga distribusyon mahimong masubay sa mga panid: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Ang mga bag-ong pagpagawas nag-ayo usab sa lain nga pagkahuyang (CVE-2023-20052) nga mahimong makatulo sa sulud gikan sa bisan unsang mga file sa server nga ma-access sa proseso nga nagpahigayon sa pag-scan. Ang pagkahuyang mahitabo kung ang pag-parse sa espesyal nga gidisenyo nga mga file sa DMG format ug tungod sa kamatuoran nga ang parser, sa panahon sa proseso sa pag-parse, nagtugot sa pag-ilis sa mga eksternal nga elemento sa XML nga gi-refer sa parsed DMG file.
Source: opennet.ru