在 开源防病毒软件ClamAV 中发现的严重 RCE 漏洞

该问题被跟踪为 CVE-2023-20032（CVSS 分数：9.8），与驻留在 HFS+ 文件解析器组件中的远程代码执行案例有关。

该缺陷影响版本 1.0.0 及更早版本、0.105.1 及更早版本以及 0.103.7 及更早版本。谷歌安全工程师西蒙·斯坎内尔（Simon Scannell）因发现并报告该漏洞而受到赞誉。

“此漏洞是由于缺少缓冲区大小检查，可能导致堆缓冲区溢出写入，”Cisco Talos在一份公告中表示。“攻击者可以通过提交构建的 HFS+ 分区文件来利用此漏洞，以供受影响设备上的 ClamAV 扫描。”

成功利用此漏洞可使攻击者以与 ClamAV 扫描进程相同的权限运行任意代码，或使进程崩溃，从而导致拒绝服务 （DoS） 情况。

该联网设备表示，以下产品易受攻击——

• Secure Endpoint，以前称为面向终端的高级恶意软件防护 （AMP）（Windows、macOS 和 Linux）

• 安全端点私有云，以及

• 安全 Web 设备，以前称为网络安全设备

它进一步确认该漏洞不会影响安全邮件网关（以前称为邮件安全设备）和安全电子邮件和 Web 管理器（以前称为安全管理设备）产品。

思科还修补了ClamAV的DMG文件解析器中的一个远程信息泄漏漏洞（CVE-2023-20052，CVSS分数：5.3），未经身份验证的远程攻击者可以利用该漏洞。“此漏洞是由于启用XML实体替换而导致XML外部实体注入，”思科指出。“攻击者可以通过提交构建的 DMG 文件以供受影响设备上的 ClamAV 扫描来利用此漏洞。”

值得指出的是，CVE-2023-20052不会影响思科安全Web设备。也就是说，这两个漏洞已在 ClamAV 版本 0.103.8、0.105.2 和 1.0.1 中得到解决。

思科还单独解决了影响思科 Nexus 控制面板的拒绝服务 （DoS） 漏洞（CVE-2023-20014，CVSS 分数：7.5）以及邮件安全设备 （ESA） 和安全邮件和 Web 管理器中的另外两个权限提升和命令注入漏洞（CVE-2023-20009 和 CVE-2023-20075，CVSS 分数：6.5）。

原文始发于微信公众号（黑猫安全）：在 开源防病毒软件ClamAV 中发现的严重 RCE 漏洞