Cisco-k ClamAV 1.0.1, 0.105.3 eta 0.103.8 doako birusen aurkako paketearen bertsio berriak argitaratu ditu, ahultasun kritiko bat (CVE-2023-20032) ezabatzen dutenak, berariaz diseinatutako diskoko irudiak dituzten fitxategiak eskaneatzean kodea exekutatzeko. ClamAV HFS+ formatua.
Ahultasuna buffer-aren tamainaren egiaztapen ezak eragiten du, eta horrek aukera ematen dizu zure datuak buffer-en mugatik haratagoko eremu batean idazteko eta kodearen exekuzioa antolatzeko ClamAV prozesuaren eskubideekin, adibidez, batetik ateratako fitxategiak eskaneatzea. gutunak posta zerbitzari batean. Banaketetan paketeen eguneraketak argitaratzen diren orrialdeetan jarrai daiteke: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Argitalpen berriek beste ahultasun bat ere konpontzen dute (CVE-2023-20052), eskaneatze prozesuak atzitzen dituen zerbitzariko edozein fitxategitako edukia isur dezakeena. Zaurgarritasuna DMG formatuan bereziki diseinatutako fitxategiak analizatzean gertatzen da eta analizatzaileak, analizatze prozesuan zehar, analizatutako DMG fitxategian erreferentzia diren kanpoko XML elementuak ordezkatzea ahalbidetzen duelako eragiten du.
Iturria: opennet.ru