Společnost Cisco zveřejnila nové verze bezplatného antivirového balíčku ClamAV 1.0.1, 0.105.3 a 0.103.8, které eliminují kritickou zranitelnost (CVE-2023-20032), která by mohla vést ke spuštění kódu při skenování souborů se speciálně navrženými obrazy disků v Formát ClamAV HFS+.
Zranitelnost je způsobena nedostatkem řádné kontroly velikosti vyrovnávací paměti, která vám umožňuje zapisovat data do oblasti za hranicí vyrovnávací paměti a organizovat provádění kódu s právy procesu ClamAV, například skenování souborů extrahovaných z dopisy na poštovním serveru. Publikování aktualizací balíčků v distribucích lze sledovat na stránkách: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Nové verze také opravují další chybu zabezpečení (CVE-2023-20052), která by mohla způsobit únik obsahu ze všech souborů na serveru, ke kterým přistupuje proces provádějící kontrolu. K této chybě zabezpečení dochází při analýze speciálně navržených souborů ve formátu DMG a je způsobena skutečností, že analyzátor během procesu analýzy umožňuje nahrazení externích prvků XML, na které se odkazuje v analyzovaném souboru DMG.
Zdroj: opennet.ru