Mae Cisco wedi cyhoeddi datganiadau newydd o'r pecyn gwrthfeirws rhad ac am ddim ClamAV 1.0.1, 0.105.3 a 0.103.8, sy'n dileu bregusrwydd critigol (CVE-2023-20032) a allai arwain at weithredu cod wrth sganio ffeiliau gyda delweddau disg wedi'u cynllunio'n arbennig yn Fformat ClamAV HFS+.
Mae'r bregusrwydd yn cael ei achosi gan ddiffyg gwiriad cywir o faint y byffer, sy'n eich galluogi i ysgrifennu eich data i ardal y tu hwnt i'r ffin byffer a threfnu gweithredu cod gyda hawliau'r broses ClamAV, er enghraifft, sganio ffeiliau a dynnwyd o llythyrau ar weinydd post. Gellir olrhain cyhoeddi diweddariadau pecyn mewn dosbarthiadau ar y tudalennau: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Mae'r datganiadau newydd hefyd yn trwsio bregusrwydd arall (CVE-2023-20052) a allai ollwng cynnwys o unrhyw ffeiliau ar y gweinydd sy'n cael eu cyrchu gan y broses sy'n perfformio'r sgan. Mae'r bregusrwydd yn digwydd wrth ddosrannu ffeiliau a ddyluniwyd yn arbennig yn y fformat DMG ac fe'i hachosir gan y ffaith bod y parser, yn ystod y broses dosrannu, yn caniatΓ‘u amnewid elfennau XML allanol y cyfeirir atynt yn y ffeil DMG wedi'i dosrannu.
Ffynhonnell: opennet.ru