技術支援
文件
登錄
聯繫我們
在 ClamAV 開源防病毒軟體中發現 RCE 漏洞
奧班拉·奧佩耶米
實施期間: 2023年2月28 日 - TuxCare專家團隊
研究人員在各種應用程式使用的流行軟體庫中發現了一個嚴重的遠端代碼執行 (RCE) 漏洞。CVE-2023-20032漏洞(CVSS 分數:9.8)存在於各種版本的 ClamAV 的 HFS+ 分區檔解析器中,ClamAV 是由思科 Talos 維護的免費跨平臺反惡意軟體工具包。但是,沒有一個缺陷被積極利用。
“此漏洞是由於缺少緩衝區大小檢查,可能導致堆緩衝區溢出寫入。攻擊者可通過提交構建的 HFS+ 分區檔供受影響設備上的 ClamAV 掃描來利用此漏洞。成功利用此漏洞可能允許攻擊者以ClamAV掃描進程的許可權執行任意代碼,否則進程崩潰,從而導致拒絕服務(DoS)情況,“思科解釋說。
該問題是由 HFS+ 檔案解析器元件中的遠端代碼執行引起的。版本 1.0.0 及更早版本、0.105.1 及更早版本以及 0.103.7 及更早版本都會受到影響。該漏洞是由Google安全工程師Simon Scannell發現並報告的。
要利用它,攻擊者必須首先獲取有效的使用者憑據,但一旦他們這樣做,他們就可以利用這些缺陷提升其許可權,以便在受影響的設備上執行任意命令。兩者都有概念驗證漏洞,儘管目前尚不清楚它是否在線。
另一個漏洞 CVE-2023-20052(CVSS 得分為 5.3)是 XML 外部實體 (XXE) 注入,可以通過提交構建的 DMG 檔進行掃描來觸發,從而導致 ClamAV 讀取的檔的位元組洩漏。安全終端(以前稱為高級惡意軟體防護 AMP)、安全終端私有雲和安全 Web 設備也會受到影響 Cisco 產品(以前稱為網路安全設備)。
安全郵件閘道(以前稱為郵件安全設備)和安全郵件和 Web 管理員(以前稱為安全管理設備)產品不受此漏洞的影響。
此後,思科發佈了解決該漏洞的更新,以及針對Nexus Dashboard軟體和安全郵件網關中的高嚴重性問題的補丁。
這篇文章的來源包括 TheHackerNews上的一篇文章。
