Cisco ka publikuar lëshimet e reja të paketës falas antivirus ClamAV 1.0.1, 0.105.3 dhe 0.103.8, të cilat eliminojnë një cenueshmëri kritike (CVE-2023-20032) që mund të çojë në ekzekutimin e kodit kur skanoni skedarë me imazhe të diskut të projektuar posaçërisht në Formati ClamAV HFS+.
Dobësia është shkaktuar nga mungesa e kontrollit të duhur të madhësisë së tamponit, e cila ju lejon të shkruani të dhënat tuaja në një zonë përtej kufirit të tamponit dhe të organizoni ekzekutimin e kodit me të drejtat e procesit ClamAV, për shembull, skanimin e skedarëve të nxjerrë nga letra në një server të postës. Publikimi i përditësimeve të paketave në shpërndarje mund të gjurmohet në faqet: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Publikimet e reja rregullojnë gjithashtu një dobësi tjetër (CVE-2023-20052) që mund të rrjedhë përmbajtje nga çdo skedar në server që aksesohet nga procesi që kryen skanimin. Dobësia shfaqet kur analizon skedarët e projektuar posaçërisht në formatin DMG dhe shkaktohet nga fakti se analizuesi, gjatë procesit të analizimit, lejon zëvendësimin e elementeve të jashtëm XML që janë referuar në skedarin e analizuar DMG.
Burimi: opennet.ru