Обновление свободного антивирусного пакета ClamAV 0.101.4 с устранением уязвимостей

Сформирован релиз свободного антивирусного пакета ClamAV 0.101.4, в котором устранена уязвимость (CVE-2019–12900) в реализации распаковщика архивов bzip2, которая может привести к перезаписи областей памяти вне выделенного буфера при обработке слишком большого числа селекторов.

В новой версии также заблокирован обходной путь для создания нерекурсивных «zip-бомб», защита от которых была предложена в прошлом выпуске. Добавленная ранее защита была сосредоточена на ограничении потребления ресурсов, но не учитывала возможность создания «zip-бомб», манипулирующих длительностью процесса обработки файла. Время на сканирование файла теперь ограничено двумя минутами. Для изменения установленного лимита предложена опция «clamscan --max-scantime» и директива MaxScanTime для файла конфигурации clamd.

© OpenNet