ClickCease Se detecta una vulnerabilidad RCE en el software antivirus de código abierto ClamAV

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Se detecta una vulnerabilidad RCE en el antivirus de código abierto ClamAV

por

28 de febrero de 2023 - Equipo de RRPP de TuxCare

Investigadores han descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en una popular biblioteca de software utilizada por una amplia gama de aplicaciones. La vulnerabilidad CVE-2023-20032 (puntuación CVSS: 9,8) existe en el analizador de archivos de partición HFS+ de varias versiones de ClamAV, un conjunto de herramientas antimalware multiplataforma gratuito mantenido por Cisco Talos. Sin embargo, ninguno de los fallos se explota activamente.

"Esta vulnerabilidad se debe a una comprobación de tamaño de búfer faltante que puede resultar en una escritura de desbordamiento de búfer de heap. Un atacante podría explotar esta vulnerabilidad enviando un archivo de partición HFS+ manipulado para ser escaneado por ClamAV en un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario con los privilegios del proceso de exploración ClamAV, o bien bloquear el proceso, lo que resulta en una denegación de servicio (DoS) condición", explicó Cisco.

El problema está causado por la ejecución remota de código en el componente analizador de archivos HFS+. Están afectadas las versiones 1.0.0 y anteriores, 0.105.1 y anteriores, y 0.103.7 y anteriores. El fallo fue descubierto e informado por el ingeniero de seguridad de Google Simon Scannell.

Para explotarlo, los atacantes deben primero obtener credenciales de usuario válidas, pero una vez que lo hacen, pueden utilizar las fallas para elevar sus privilegios a root y ejecutar comandos arbitrarios en un dispositivo afectado. Existe una prueba de concepto para ambos fallos, aunque no está claro si está en línea o no.

El otro fallo, CVE-2023-20052 (puntuación CVSS de 5,3), es una inyección de entidad externa XML (XXE) que puede activarse enviando archivos DMG manipulados para su análisis, lo que provoca una fuga de bytes de los archivos leídos por ClamAV. Secure Endpoint (antes Advanced Malware Protection, AMP), Secure Endpoint Private Cloud y Secure Web Appliance también son productos Cisco afectados (antes Web Security Appliance).

Los productos Secure Email Gateway (anteriormente Email Security Appliance) y Secure Email and Web Manager (anteriormente Security Management Appliance) no están afectados por la vulnerabilidad.

Desde entonces, Cisco ha publicado actualizaciones que solucionan la vulnerabilidad, así como parches para problemas de alta gravedad en el software Nexus Dashboard y Secure Email Gateway.

Las fuentes de este artículo incluyen un artículo en TheHackerNews.

Resumen
Se detecta una vulnerabilidad RCE en el antivirus de código abierto ClamAV
Nombre del artículo
Se detecta una vulnerabilidad RCE en el antivirus de código abierto ClamAV
Descripción
Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en una popular biblioteca de software utilizada por una amplia gama de aplicaciones.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.