Компания Cisco выпустила патч для критической уязвимости в опенсорсном антивирусном ядре ClamAV, которая могла использоваться для удаленного выполнения произвольного кода на уязвимых устройствах.
Свежая уязвимость получила идентификатор CVE-2023-20032 (9,8 балла по шкале оценки уязвимостей CVSS) и была обнаружена специалистами компании Google. Баг связан с проблемой в компоненте анализатора файлов HFS+.
Уязвимость затрагивает версии 1.0.0 и более ранние, 0.105.1 и более ранние, а также 0.103.7 и более ранние. Перед проблемой уязвимы следующие продукты:
- Secure Endpoint, ранее Advanced Malware Protection for Endpoints (Windows, macOS и Linux);
- Secure Endpoint Private Cloud;
- Secure Web Appliance, ранее Web Security Appliance.
Также подчеркивается, что уязвимость не влияет на Secure Email Gateway (ранее Email Security Appliance) и Secure Email and Web Manager (ранее Security Management Appliance).
«Уязвимость связана с отсутствием проверки размера буфера, что может привести к переполнения буфера хипа, — говорится в информационном бюллетене Cisco Talos. —Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный файл раздела HFS+ для сканирования ClamAV на уязвимом устройстве».
Разработчики предупредили, что успешное использование уязвимости может позволить выполнить произвольный код с теми же привилегиями, что и у процесса сканирования ClamAV, или привести к сбою, что повлечет за собой отказ в обслуживании (DoS).
