Cisco, ClamAV açık kaynaklı antivirüs motorunda bildirilen ve hassas cihazlarda uzaktan kod yürütülmesine yol açabilecek kritik bir kusuru gidermek için güvenlik güncellemeleri yayınladı.
şu şekilde izlendi: CVE-2023-20032 (CVSS puanı: 9.8), sorun, HFS+ dosya ayrıştırıcı bileşeninde bulunan bir uzaktan kod yürütme durumuyla ilgilidir.
Kusur, 1.0.0 ve öncesi, 0.105.1 ve öncesi ve 0.103.7 ve öncesi sürümleri etkiler. Google güvenlik mühendisi Simon Scannell, hatayı keşfedip bildirdiği için kredilendirildi.
Cisco Talos, “Bu güvenlik açığı, yığın arabellek taşması yazmaya neden olabilecek eksik bir arabellek boyutu denetiminden kaynaklanmaktadır.” söz konusu bir danışmada. “Bir saldırgan, etkilenen bir cihazda ClamAV tarafından taranmak üzere hazırlanmış bir HFS+ bölümleme dosyası göndererek bu güvenlik açığından yararlanabilir.”
Zayıflığın başarılı bir şekilde kullanılması, bir rakibin ClamAV tarama işlemiyle aynı ayrıcalıklara sahip rasgele kod çalıştırmasına veya işlemi çökerterek hizmet reddi (DoS) durumuna neden olabilir.
Ağ ekipmanı, aşağıdaki ürünlerin savunmasız olduğunu söyledi –
- Güvenli Uç Nokta, önceden Uç Noktalar için Gelişmiş Kötü Amaçlı Yazılım Koruması (AMP) (Windows, macOS ve Linux)
- Güvenli Uç Nokta Özel Bulutu ve
- Secure Web Appliance, eski adıyla Web Security Appliance
Ayrıca, güvenlik açığının Secure Email Gateway (eski adıyla Email Security Appliance) ve Secure Email and Web Manager (eski adıyla Security Management Appliance) ürünlerini etkilemediğini doğruladı.
Ayrıca Cisco tarafından yamalanan, ClamAV’ın DMG dosya ayrıştırıcısında (CVE-2023-20052, CVSS puanı: 5.3) bulunan ve kimliği doğrulanmamış, uzaktaki bir saldırgan tarafından istismar edilebilecek bir uzaktan bilgi sızıntısı güvenlik açığıdır.
Cisco, “Bu güvenlik açığı, XML harici varlık enjeksiyonuyla sonuçlanabilecek XML varlık ikamesinin etkinleştirilmesinden kaynaklanmaktadır.” kayıt edilmiş. “Bir saldırgan, etkilenen bir cihazda ClamAV tarafından taranmak üzere hazırlanmış bir DMG dosyası göndererek bu güvenlik açığından yararlanabilir.”
CVE-2023-20052’nin Cisco Secure Web Appliance’ı etkilemediğini belirtmekte fayda var. Bununla birlikte, her iki güvenlik açığı da ClamAV 0.103.8, 0.105.2 ve 1.0.1 sürümlerinde ele alınmıştır.
Cisco ayrıca, Cisco Nexus Dashboard’u etkileyen bir hizmet reddi (DoS) güvenlik açığını da çözdü (CVE-2023-20014CVSS puanı: 7,5) ve Email Security Appliance (ESA) ile Secure Email and Web Manager’da (CVE-2023-20009 ve CVE-2023-20075CVSS puanları: 6.5).