Cisco kompaniyasi ClamAV 1.0.1, 0.105.3 va 0.103.8 bepul antivirus paketining yangi relizlarini nashr etdi, ular maxsus mo'ljallangan disk tasvirlari bo'lgan fayllarni skanerlashda kod bajarilishiga olib keladigan muhim zaiflikni (CVE-2023-20032) yo'q qiladi. ClamAV HFS+ formati.
Zaiflik bufer hajmining to'g'ri tekshirilmaganligi bilan bog'liq bo'lib, bu sizning ma'lumotlaringizni bufer chegarasidan tashqaridagi hududga yozish va ClamAV jarayoni huquqlari bilan kodning bajarilishini tashkil etish imkonini beradi, masalan, skanerdan olingan fayllarni skanerlash. pochta serveridagi harflar. Distribyutsiyalarda paket yangilanishlarining nashr etilishini sahifalarda kuzatish mumkin: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD, NetBSD.
Yangi nashrlar, shuningdek, skanerlash jarayoni orqali kiradigan serverdagi har qanday fayllardan tarkibni sizib chiqishi mumkin bo'lgan boshqa zaiflikni (CVE-2023-20052) tuzatadi. Zaiflik DMG formatidagi maxsus ishlab chiqilgan fayllarni tahlil qilishda yuzaga keladi va tahlil qilish jarayonida tahlilchi tahlil qilingan DMG faylida havola qilingan tashqi XML elementlarini almashtirishga ruxsat berishi bilan bog'liq.
Manba: opennet.ru