Cisco-ն հրապարակել է ClamAV 1.0.1, 0.105.3 և 0.103.8 անվճար հակավիրուսային փաթեթի նոր թողարկումները, որոնք վերացնում են կրիտիկական խոցելիությունը (CVE-2023-20032), որը կարող է հանգեցնել կոդի կատարման՝ հատուկ մշակված սկավառակի պատկերներով ֆայլերը սկանավորելիս: ClamAV HFS+ ձևաչափ:
Խոցելիությունը պայմանավորված է բուֆերային չափի պատշաճ ստուգման բացակայությամբ, որը թույլ է տալիս գրել ձեր տվյալները բուֆերային սահմանից դուրս գտնվող տարածքում և կազմակերպել կոդի կատարումը ClamAV գործընթացի իրավունքներով, օրինակ՝ սկանավորել ֆայլերը, որոնք արդյունահանվել են: նամակներ փոստի սերվերի վրա: Փաթեթների թարմացումների հրապարակումը բաշխումներում կարելի է հետևել էջերում՝ Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD:
Նոր թողարկումները նաև շտկում են ևս մեկ խոցելիություն (CVE-2023-20052), որը կարող է բովանդակություն արտահոսել սերվերի ցանկացած ֆայլից, որոնց հասանելի են սկանավորումն իրականացնող գործընթացը: Խոցելիությունը առաջանում է հատուկ նախագծված ֆայլերը DMG ձևաչափով վերլուծելիս և պայմանավորված է նրանով, որ վերլուծիչը վերլուծման գործընթացում թույլ է տալիս փոխարինել արտաքին XML տարրերը, որոնք հղում են արված վերլուծված DMG ֆայլում:
Source: opennet.ru