Критична RCE ранливост откриена во ClamAV антивирусен софтвер со отворен код

Cisco објави безбедносни ажурирања за да одговори на критичниот пропуст пријавен во ClamAV антивирусниот софтвер со отворен код што може да доведе до далечинско извршување на кодот на подложни уреди.

Следено како CVE-2023-20032 (CVSS оцена: 9,8), проблемот се однесува на случај на далечинско извршување на кодот што се наоѓа во HFS+ file parser компонентата.

Пропустот влијае на верзиите 1.0.0 и порано, 0.105.1 и порано, 0.103.7 и порано. Безбедносниот инженер на Google, Simon Scannell, е заслужен за откривање и пријавување на ранливоста.

„Оваа ранливост се должи на недостигната проверка на големината на баферот што може да резултира со прелевање на баферот“, изјави Cisco Talos во советот. „Напаѓачот би можел да ја искористи оваа ранливост со поднесување на изработена HFS+ датотека со партиција што треба да се скенира од ClamAV на засегнатиот уред”.

Успешното искористување на слабоста може да му овозможи на напаѓачот да изврши произволен код со истите привилегии како оној на процесот на скенирање на ClamAV или да го прекине процесот, што ќе резултира со denial-of-service (DoS) состојба.

Тимот за вмрежување изјави дека следните производи се ранливи:

– Secure Endpoint, порано Advanced Malware Protection (AMP) за крајни точки (Windows, macOS и Linux)

– Secure Endpoint Private Cloud

– Secure Web Appliance, порано Web Security Appliance

Потоа потврди дека ранливоста не влијае на Secure Email Gateway (порано Email Security Appliance) и Secure Email and Web Manager (порано Security Management Appliance) производите.

Исто така, закрпена е ранливоста за далечинско протекување на информации во ClamAV DMG file parser (CVE-2023-20052, CVSS резултат: 5.3) од страна на Cisco што може да биде искористена од страна на неавтентициран, далечински напаѓач.

„Оваа ранливост се должи на овозможување замена на XML ентитет што може да резултира со вметнување на надворешен XML ентитет“, забележа Cisco. „Напаѓачот би можел да ја искористи оваа ранливост со поднесување на изработена DMG-датотека што ќе го скенира ClamAV на погодениот уред“.

Вреди да се истакне дека CVE-2023-20052 не влијае на Cisco Secure Web Appliance. Сепак, и двата пропусти се адресирани во ClamAV верзии 0.103.8, 0.105.2 и 1.0.1.

Cisco исто така, ја реши denial-of-service (DoS) ранливоста што влијаеше на Cisco Nexus Dashboard (CVE-2023-20014, CVSS резултат: 7,5) и два други недостатоци во зголемувањето на привилегиите и вметнување на команди во Email Security Appliance (ESA) и безбедна е-пошта и Веб-менаџер (CVE-2023-20009 и CVE-2023-20075, CVSS резултати: 6,5).

Извор: TheHackerNews