Cisco telah menerbitkan rilis baru paket antivirus gratis ClamAV 1.0.1, 0.105.3 dan 0.103.8, yang menghilangkan kerentanan kritis (CVE-2023-20032) yang dapat menyebabkan eksekusi kode saat memindai file dengan image disk yang dirancang khusus di Format ClamAV HFS+.
Kerentanan ini disebabkan oleh kurangnya validasi ukuran buffer yang tepat, sehingga memungkinkan penyerang untuk menulis data di luar batas buffer dan mengeksekusi kode dengan hak akses proses ClamAV, misalnya, memindai file yang diekstrak dari email di server email. Publikasi pembaruan paket dalam distribusi dapat dilacak di halaman berikut: Debian, UbuntuGentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Rilis terbaru ini juga memperbaiki kerentanan lain (CVE-2023-20052) yang dapat menyebabkan kebocoran konten dari file apa pun pada server, yang dapat diakses oleh proses pemindaian. Kerentanan terjadi saat mengurai file DMG yang dibuat secara khusus dan disebabkan oleh parser yang mengizinkan penggantian elemen XML eksternal yang dirujuk dalam file DMG yang sedang diurai.
Sumber: opennet.ru
