Cisco telah menerbitkan rilis baru paket antivirus gratis ClamAV 1.0.1, 0.105.3 dan 0.103.8, yang menghilangkan kerentanan kritis (CVE-2023-20032) yang dapat menyebabkan eksekusi kode saat memindai file dengan image disk yang dirancang khusus di Format ClamAV HFS+.
Kerentanan ini disebabkan oleh kurangnya pemeriksaan ukuran buffer yang tepat, yang memungkinkan Anda menulis data ke area di luar batas buffer dan mengatur eksekusi kode dengan hak proses ClamAV, misalnya, memindai file yang diekstrak dari surat di server email. Publikasi pembaruan paket dalam distribusi dapat dilacak di halaman: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Rilis baru ini juga memperbaiki kerentanan lain (CVE-2023-20052) yang dapat membocorkan konten dari file apa pun di server yang diakses oleh proses yang melakukan pemindaian. Kerentanan terjadi ketika mengurai file yang dirancang khusus dalam format DMG dan disebabkan oleh fakta bahwa parser, selama proses penguraian, mengizinkan substitusi elemen XML eksternal yang direferensikan dalam file DMG yang diurai.
Sumber: opennet.ru