Cisco paskelbė naujus nemokamo antivirusinio paketo ClamAV 1.0.1, 0.105.3 ir 0.103.8 leidimus, kurie pašalina kritinį pažeidžiamumą (CVE-2023-20032), dėl kurio gali būti vykdomas kodas nuskaitant failus su specialiai suformatuotu disku vaizdai ClamAV. HFS+ formatu.
Pažeidžiamumą sukelia netinkamas buferio dydžio patikrinimas, leidžiantis įrašyti savo duomenis į sritį, esančią už buferio ribos, ir organizuoti kodo vykdymą su ClamAV proceso teisėmis, pavyzdžiui, nuskaityti failus. iš laiškų, esančių pašto serveryje. Paketų atnaujinimų paskelbimą platinimuose galima sekti puslapiuose: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Nauji leidimai taip pat pataiso kitą pažeidžiamumą (CVE-2023-20052), galintį nutekėti turinį iš bet kurių serveryje esančių failų, prie kurių nuskaitymo procesas turi prieigą. Pažeidžiamumas pasireiškia analizuojant specialiai sukurtus failus DMG formatu ir atsiranda dėl to, kad analizavimo proceso metu analizatorius leidžia pakeisti išorinius XML elementus, kurie nurodyti analizuojamame DMG faile.
Šaltinis: opennet.ru