Lỗ hổng RCE nghiêm trọng được phát hiện trong phần mềm chống vi-rút mã nguồn mở ClamAV

Posted on by Bình luận về bài viết này
Phần mềm diệt virus mã nguồn mở ClamAV

Cisco đã triển khai các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng được báo cáo trong công cụ chống vi-rút mã nguồn mở ClamAV có thể dẫn đến việc thực thi mã từ xa trên các thiết bị dễ bị tấn công.

Được theo dõi là CVE-2023-20032 (điểm CVSS: 9,8), sự cố liên quan đến trường hợp thực thi mã từ xa nằm trong thành phần trình phân tích cú pháp tệp HFS+.

Lỗ hổng ảnh hưởng đến các phiên bản 1.0.0 trở về trước, 0.105.1 trở về trước và 0.103.7 trở về trước. Kỹ sư bảo mật của Google, Simon Scannell, đã được ghi nhận là người đã phát hiện và báo cáo lỗi này.

“Lỗ hổng này là do kiểm tra kích thước bộ đệm bị thiếu có thể dẫn đến lỗi ghi tràn bộ đệm heap,” Cisco Talos cho biết  . “Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi tệp phân vùng HFS+ được tạo thủ công để ClamAV quét trên thiết bị bị ảnh hưởng.”

Việc khai thác thành công điểm yếu có thể cho phép hacker chạy mã tùy ý với các đặc quyền giống như đặc quyền của quy trình quét ClamAV hoặc làm hỏng quy trình, dẫn đến tình trạng từ chối dịch vụ (DoS).

Các sản phẩm sau có thể bị tấn công :

  • Secure Endpoint, formerly Advanced Malware Protection (AMP) for Endpoints (Windows, macOS, & Linux)
  • Secure Endpoint Private Cloud, &
  • Secure Web Appliance, formerly Web Security Appliance

Lưu ý : lỗ hổng bảo mật không ảnh hưởng đến các sản phẩm Secure Email Gateway (Email Security Appliance) và Secure Email and Web Manager ( Security Management Appliance).

Đã được vá bởi Cisco là lỗ hổng rò rỉ thông tin từ xa trong trình phân tích tệp DMG của ClamAV (CVE-2023-20052, điểm CVSS: 5.3) có thể bị khai thác bởi kẻ tấn công từ xa, không được xác thực.

“Lỗ hổng này là do kích hoạt thay thế thực thể XML có thể dẫn đến việc đưa vào thực thể bên ngoài XML,” Cisco lưu ý . “Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi tệp DMG được tạo thủ công để ClamAV quét trên thiết bị bị ảnh hưởng.”

CVE-2023-20052 không ảnh hưởng đến Cisco Secure Web Appliance, và cả hai lỗ hổng đã được xử lý trong các phiên bản ClamAV 0.103.8, 0.105.2 và 1.0.1.

Cisco cũng đã giải quyết riêng một lỗ hổng từ chối dịch vụ (DoS) ảnh hưởng đến Cisco Nexus Dashboard của Cisco ( CVE-2023-20014 , điểm CVSS: 7,5) và hai lỗ hổng leo thang đặc quyền và chèn lệnh khác trong Email Security Appliance (ESA) và  Secure Email and Web Manager ( CVE-2023-20009 và CVE-2023-20075 , điểm CVSS: 6,5).

THN – An Tòa Thông Tin (Security365)

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

Gravatar
WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Hủy bỏ

Connecting to %s