सिस्को ने मुफ्त एंटीवायरस पैकेज क्लैमएवी 1.0.1, 0.105.3 और 0.103.8 की नई रिलीज प्रकाशित की है, जो एक महत्वपूर्ण भेद्यता (सीवीई-2023-20032) को खत्म करती है जो विशेष रूप से डिज़ाइन की गई डिस्क छवियों के साथ फ़ाइलों को स्कैन करते समय कोड निष्पादन का कारण बन सकती है। क्लैमएवी एचएफएस+ प्रारूप।
भेद्यता बफ़र आकार की उचित जाँच की कमी के कारण होती है, जो आपको बफ़र सीमा से परे किसी क्षेत्र में अपना डेटा लिखने और ClamAV प्रक्रिया के अधिकारों के साथ कोड के निष्पादन को व्यवस्थित करने की अनुमति देता है, उदाहरण के लिए, से निकाली गई फ़ाइलों को स्कैन करना मेल सर्वर पर पत्र. वितरण में पैकेज अपडेट के प्रकाशन को पृष्ठों पर ट्रैक किया जा सकता है: डेबियन, उबंटू, जेंटू, आरएचईएल, एसयूएसई, आर्क, फ्रीबीएसडी, नेटबीएसडी।
नई रिलीज़ एक अन्य भेद्यता (CVE-2023-20052) को भी ठीक करती है जो सर्वर पर किसी भी फ़ाइल से सामग्री को लीक कर सकती है जो स्कैन करने वाली प्रक्रिया द्वारा एक्सेस की जाती है। डीएमजी प्रारूप में विशेष रूप से डिज़ाइन की गई फ़ाइलों को पार्स करते समय भेद्यता उत्पन्न होती है और यह इस तथ्य के कारण होता है कि पार्सर, पार्सिंग प्रक्रिया के दौरान, पार्स की गई डीएमजी फ़ाइल में संदर्भित बाहरी XML तत्वों के प्रतिस्थापन की अनुमति देता है।
स्रोत: opennet.ru