Обновление свободного антивирусного пакета ClamAV 0.102.2 с устранением уязвимостей
Сформирован релиз свободного антивирусного пакета ClamAV 0.102.2, в котором устранена уязвимость CVE-2020–3123 в реализации механизма DLP (data-loss-prevention), нацеленного на блокирование утечек номеров кредитных карт. Из-за ошибки при проверке допустимых границ возможно создание условий для чтения данных из области вне выделенного буфера, что может быть использовано для совершения DoS-атаки и инициирования краха рабочего процесса. Кроме того, добавлено пропущенное в ветке 0.102 исправление уязвимости CVE-2019–1785, позволяющей добиться записи данных в область ФС вне каталога, используемого при распаковке, при сканировании специально оформленных RAR-архивов.
В новом выпуске также исправлено несколько проблем, не связанных с безопасностью, устранён сбой с загрузкой новой версии БД в freshclam, устранена утечка памяти в парсере email, повышена производительность сканирования файлов PDF на платформе Windows, усилена проверка архивов ARJ, улучшена обработка некорректных PDF-файлов, добавлена поддержка autoconf 2.69 и automake 1.15.
Источник: http://www.opennet.ru/opennews/art.shtml? num=52318
© OpenNet