[ON] Обновление антивирусного пакета ClamAV 1.4.3 и 1.0.9 с устранением уязвимостей

[rssbot]

Компания Cisco опубликовала новые выпуски свободного антивирусного пакета ClamAV 1.4.3 и 1.0.98, в которых устранены уязвимости, одна из которых может привести к выполнению кода атакующего при проверке специально оформленного содержимого.

• CVE-2025-20260 - ошибка в коде разбора файлов в формате PDF, приводящая к записи данных за пределы выделенного буфера. Проблема проявляется в конфигурациях, максимальный размер настроек file-size и scan-size в которых равен или превышает 1024 MB и
  1025 MB соответственно. Эксплуатация уязвимости возможна начиная с выпуска 1.0.0 и может привести к выполнению кода с правами процесса ClamAV.
• CVE-2025-20234 - ошибка в коде разбора файлов в формате
  UDF, приводящая к чтению данных из области памяти за пределами выделенного буфера. Проблема может привести к аварийному завершению процесса или утечки данных из памяти во временный файл. Уязвимость проявляется начиная с версии 1.2.0.
• Обращение к памяти после её освобождения в модуле распаковки архивов в формате xz (CVE не назначен). Проблема вызвана ошибкой во встроенной в код ClamAV библиотеке lzma-sdk, которая была устранена в основном проекте в выпуске lzma-sdk 18.03, опубликованном в 2018 году без упоминания устранения уязвимости. Уязвимость проявляется во всех версиях ClamAV, начиная с 0.99.4.
  
  
  
  
  
  
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=63430
  (opennet.ru, мини-новости)