Nag-publish ang Cisco ng mga bagong release ng libreng antivirus package na ClamAV 1.0.1, 0.105.3 at 0.103.8, na nag-aalis ng kritikal na kahinaan (CVE-2023-20032) na maaaring humantong sa pagpapatupad ng code kapag nag-scan ng mga file na may espesyal na idinisenyong disk image sa ClamAV HFS+ na format.
Ang kahinaan ay sanhi ng kakulangan ng wastong pagsusuri sa laki ng buffer, na nagbibigay-daan sa iyong isulat ang iyong data sa isang lugar na lampas sa hangganan ng buffer at ayusin ang pagpapatupad ng code na may mga karapatan ng proseso ng ClamAV, halimbawa, pag-scan ng mga file na kinuha mula sa mga titik sa isang mail server. Ang paglalathala ng mga update sa package sa mga pamamahagi ay maaaring masubaybayan sa mga pahina: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Inaayos din ng mga bagong release ang isa pang kahinaan (CVE-2023-20052) na maaaring mag-leak ng content mula sa anumang mga file sa server na naa-access ng prosesong nagsasagawa ng pag-scan. Ang kahinaan ay nangyayari kapag nag-parse ng mga espesyal na idinisenyong file sa format na DMG at sanhi ng katotohanan na ang parser, sa panahon ng proseso ng pag-parse, ay nagbibigay-daan sa pagpapalit ng mga panlabas na elemento ng XML na na-refer sa na-parse na DMG file.
Pinagmulan: opennet.ru