-
09/04/2020
-
85
-
554 bài viết
CVE-2023-20032: Lỗ hổng RCE nghiêm trọng trong ClamAV
ClamAV vừa công bố các bản vá cho hai lỗ hổng trên sản phẩm công cụ chống virus nguồn mở của mình, bao gồm cả một lỗi được đánh giá có mức độ nghiêm trọng.
Lỗ hổng CVE-2023-20032 với điểm CVSS 9,8, tồn tại do kiểm tra giới hạn không đúng cách và có thể cho phép kẻ tấn công kích hoạt tràn bộ đệm bằng cách gửi tệp phân vùng HFS+ tự tạo.
ClamAV là bộ công cụ chống virus mã nguồn mở (GPLv2), được thiết kế đặc biệt để quét e-mail trên các hệ thống mail. Nó cung cấp một số tiện ích bao gồm daemon đa luồng linh hoạt và có thể mở rộng, trình quét dòng lệnh và công cụ nâng cao để cập nhật cơ sở dữ liệu tự động.
“Lỗ hổng này do kiểm tra kích thước bộ đệm không đầy đủ dẫn đến lỗi ghi tràn bộ đệm heap. Kẻ tấn công có thể khai thác lỗ hổng bằng cách gửi tệp phân vùng HFS+ tự tạo để ClamAV quét trên thiết bị bị ảnh hưởng. Khai thác thành công có thể cho phép hacker thực thi mã tùy ý với các đặc quyền của tiến trình quét ClamAV, hoặc làm hỏng quy trình, dẫn đến tình trạng từ chối dịch vụ (DoS)” - Cisco giải thích.
CVE này đã được xử lý cùng với lỗ hổng XML external entity injection (mã định danh CVE-2023-20052) có điểm CVSS là 5,3.
ClamAV có thể bị tấn công thông qua lỗ hổng khi xử lý dữ liệu XML, dẫn tới việc thay thế thực thể XML. Bằng cách gửi một tệp DMG tự tạo để quét, kẻ tấn công từ xa có thể khai thác lỗ hổng để xem các byte từ bất kỳ tệp nào mà quá trình quét ClamAV có thể đọc được.
Cisco lưu ý rằng hãng chưa phát hiện những nỗ lực khai thác lỗ hổng trong thực tế.
ClamAV đã phát hành các bản cập nhật phần mềm (các phiên bản 0.103.8 , 0.105.2 và 1.0.1) để xử lý CVE-2023-20032 và CVE-2023-20052 đồng thời cho biết không có giải pháp thay thế nào khác.
Lỗ hổng CVE-2023-20032 với điểm CVSS 9,8, tồn tại do kiểm tra giới hạn không đúng cách và có thể cho phép kẻ tấn công kích hoạt tràn bộ đệm bằng cách gửi tệp phân vùng HFS+ tự tạo.
ClamAV là bộ công cụ chống virus mã nguồn mở (GPLv2), được thiết kế đặc biệt để quét e-mail trên các hệ thống mail. Nó cung cấp một số tiện ích bao gồm daemon đa luồng linh hoạt và có thể mở rộng, trình quét dòng lệnh và công cụ nâng cao để cập nhật cơ sở dữ liệu tự động.
“Lỗ hổng này do kiểm tra kích thước bộ đệm không đầy đủ dẫn đến lỗi ghi tràn bộ đệm heap. Kẻ tấn công có thể khai thác lỗ hổng bằng cách gửi tệp phân vùng HFS+ tự tạo để ClamAV quét trên thiết bị bị ảnh hưởng. Khai thác thành công có thể cho phép hacker thực thi mã tùy ý với các đặc quyền của tiến trình quét ClamAV, hoặc làm hỏng quy trình, dẫn đến tình trạng từ chối dịch vụ (DoS)” - Cisco giải thích.
CVE này đã được xử lý cùng với lỗ hổng XML external entity injection (mã định danh CVE-2023-20052) có điểm CVSS là 5,3.
ClamAV có thể bị tấn công thông qua lỗ hổng khi xử lý dữ liệu XML, dẫn tới việc thay thế thực thể XML. Bằng cách gửi một tệp DMG tự tạo để quét, kẻ tấn công từ xa có thể khai thác lỗ hổng để xem các byte từ bất kỳ tệp nào mà quá trình quét ClamAV có thể đọc được.
Cisco lưu ý rằng hãng chưa phát hiện những nỗ lực khai thác lỗ hổng trong thực tế.
ClamAV đã phát hành các bản cập nhật phần mềm (các phiên bản 0.103.8 , 0.105.2 và 1.0.1) để xử lý CVE-2023-20032 và CVE-2023-20052 đồng thời cho biết không có giải pháp thay thế nào khác.
Nguồn: Security Online
Chỉnh sửa lần cuối: