Cisco hà publicatu novi versioni di u pacchettu antivirus gratuitu ClamAV 1.0.1, 0.105.3 è 0.103.8, chì eliminanu una vulnerabilità critica (CVE-2023-20032) chì puderia purtà à l'esecuzione di codice quandu scansanu i fugliali cù l'imaghjini di discu apposta Formatu ClamAV HFS+.
A vulnerabilità hè causata da a mancanza di cuntrollu propiu di a dimensione di u buffer, chì permette di scrive i vostri dati in una zona oltre u cunfini di u buffer è urganizà l'esekzione di codice cù i diritti di u prucessu ClamAV, per esempiu, scanning files extracted from lettere nantu à un servitore di mail. A publicazione di l'aghjurnamenti di u pacchettu in distribuzioni pò esse seguitu nantu à e pagine: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
I novi versioni riparanu ancu una altra vulnerabilità (CVE-2023-20052) chì puderia fughje u cuntenutu da qualsiasi fugliale nantu à u servitore chì hè accessu da u prucessu di scansione. A vulnerabilità si trova quandu analizà i schedarii apposta in u formatu DMG è hè causatu da u fattu chì u parser, durante u prucessu di parsing, permette a sustituzione di elementi XML esterni chì sò riferiti in u schedariu DMG parsed.
Source: opennet.ru