Cisco imechapisha matoleo mapya ya kifurushi cha bure cha antivirus ClamAV 1.0.1, 0.105.3 na 0.103.8, ambacho huondoa athari mbaya (CVE-2023-20032) ambayo inaweza kusababisha utekelezaji wa nambari wakati wa kuchanganua faili zilizo na picha za diski iliyoundwa mahsusi. Umbizo la ClamAV HFS+.
Udhaifu huo unasababishwa na ukosefu wa ukaguzi sahihi wa saizi ya bafa, ambayo hukuruhusu kuandika data yako kwa eneo lililo nje ya mpaka wa bafa na kupanga utekelezaji wa nambari na haki za mchakato wa ClamAV, kwa mfano, kuchanganua faili zilizotolewa kutoka. barua kwenye seva ya barua. Uchapishaji wa masasisho ya kifurushi katika usambazaji unaweza kufuatiliwa kwenye kurasa: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Matoleo mapya pia hurekebisha athari nyingine (CVE-2023-20052) ambayo inaweza kuvuja maudhui kutoka kwa faili zozote kwenye seva ambazo zinaweza kufikiwa na mchakato wa kuchanganua. Athari hutokea wakati wa kuchanganua faili zilizoundwa mahususi katika umbizo la DMG na husababishwa na ukweli kwamba kichanganuzi, wakati wa mchakato wa uchanganuzi, huruhusu uingizwaji wa vipengee vya nje vya XML ambavyo vinarejelewa katika faili ya DMG iliyochanganuliwa.
Chanzo: opennet.ru