Выпуск свободного антивирусного пакета ClamAV 0.100.1 с устранением уязвимостей
Доступен релиз свободного антивирусного пакета ClamAV 0.100.1, в котором устранены уязвимости:
- CVE-2017–16932 — отказ в обслуживании (зацикленная рекурсия при обработке определённых XML-блоков) в поставляемой в комплекте библиотеке libxml2, которая применяется только в сборках для платформы Windows (для Linux используются внешние зависимости);
- CVE-2018–0360 — целочисленное переполнение, которое можно использовать для вызова бесконечного зацикливания;
- CVE-2018–0361 — ошибка в коде проверки размера PDF-объектов, может привести к слишком длительной обработке специально оформленных мелких PDF-файлов;
- Чтение из области за пределами буфера в коде unRAR и Libmspack (используется при разборе файлов CHM);
- Серия ошибок в парсере PDF, связанных с отсутствием должных проверок размера буфера при чтении целых чисел из не оканчивающихся нулевым символом строк и чтении строк из объектов со словарями.
Из улучшений в новом выпуске отмечается добавление поддержки HTTPS в утилиту clamsubmit. В новой версии также решена проблема с определением имён в DNS в конфигурациях только с IPv4, без IPv6 или с привязкой IPv6 только к локальному сетевому интерфейсу.
© OpenNet