![行业资讯|Cisco 开源软件ClamAV 存在严重漏洞]( "行业资讯|Cisco 开源软件ClamAV 存在严重漏洞")
近日,思科推出了安全更新,已解决ClamAV开源防病毒引擎中报告的一个严重漏洞,该漏洞可能导致易受感染的设备上远程代码执行。
据悉,该漏洞(CVE-2023-20032)给思科的网络安全设备以及各种版本的思科安全端点(包括Windows、macOS、Linux和云端)造成了严重的安全风险。
思科上周发布了关于该漏洞的安全公告,同时也发布了受影响产品的补丁程序。虽然该漏洞没有受到主动攻击,但还是建议用户尽快安装补丁。
根据思科的安全公告所解释,ClamAV的HFS+分区文件解析器中存在漏洞,这为向端点设备或易受攻击的思科网路安全设备中注入恶意代码创造了机会。
这个漏洞源于缺少缓冲区大小检查,这在扫描HFS+分区文件时会造成堆缓冲区溢出的风险。攻击者可能在将其提供给ClamAV扫描之前,创建出一个恶意分区文件。
思科的安全公告表明,“成功的利用可能允许攻击者以ClamAV扫描进程的权限执行任意代码,或者使该进程崩溃,导致拒绝服务(DoS)状态。”
ClamAV (Clam AntiVirus) 是一款免费的,针对Unix开发的反恶意软件工具包。这项技术是思科10年前通过收购获得的,现已被移植到各种操作系统上运行,包括Linux、macOS和Windows。
这项技术的主要用途之一是在邮件服务器上作为服务器端电子邮件中的恶意软件扫描程序。
然而,思科已确认其SEG,其安全电子邮件和Web管理器设备都不会受到此漏洞的影响。
该漏洞和相同技术的DMG文件解析器中的远程信息泄漏漏洞(CVE-2023-20052),都是由谷歌工程师Simon Scannell发现的。谷歌去年8月上报了思科有关ClamAV的安全漏洞。
并且,谷歌在GitHub上发布了一份对漏洞(CVE-2023-20032)及其潜在利用进行了全面的技术分析的公告。
思科的公告解释说:“我们将漏洞评级为高严重性,因为当启用CL_SCAN_ARCHIVE运行扫描时,缓冲区溢出可能会被触发,而在大多数配置中都是默认启用。此功能通常用于在邮件服务器的后端传入的电子邮件。因此,远程、外部、未经身份验证的攻击者都可以触发此漏洞。”
德国网络安全供应商ONEKEY的一篇技术博客文章总结道,ClamAV中的两个漏洞说明“文件格式解析是一项困难而复杂的工作”。
原文链接🔗
https://portswigger.net/daily-swig/cisco-clamav-anti-malware-scanner-vulnerable-to-serious-security-flaw
![行业资讯|Cisco 开源软件ClamAV 存在严重漏洞]( "行业资讯|Cisco 开源软件ClamAV 存在严重漏洞")
原文始发于微信公众号(360漏洞研究院):行业资讯|Cisco 开源软件ClamAV 存在严重漏洞
评论