知名开源杀毒引擎 ClamAV 曝高危漏洞，可远程执行任意代码

近日，思科推出了安全更新，以解决 ClamAV 开源防病毒引擎中报告的 1 个高危安全漏洞，该漏洞可能导致在易受感染的设备上远程执行代码。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该漏洞号为 CVE-2023-20032（CVSS 评分：9.8），该漏洞与驻留在 HFS+ 文件解析器组件中的远程代码执行有关。该漏洞影响的版本是 1.0.0 及更早版本、0.105.1 及更早版本、以及 0.103.7 及更早版本。

极牛攻防实验室表示，这个漏洞是由于缺少缓冲区大小检查，可能导致堆缓冲区溢出写入，攻击者可以通过提交一个精心制作的 HFS+ 分区文件来利用此漏洞，以便在受影响的设备上由 ClamAV 扫描。

成功利用该漏洞攻击者能够以与 ClamAV 扫描进程相同的权限运行任意代码，或使进程崩溃，从而导致拒绝服务 (DoS) 情况。

思科公司确认该漏洞不会影响 Secure Email Gateway（以前称为 Email Security Appliance）和 Secure Email and Web Manager（以前称为 Security Management Appliance）产品。

思科还修补了 ClamAV 的 DMG 文件解析器中的远程信息泄漏漏洞（CVE-2023-20052，CVSS 评分：5.3），未经身份验证的远程攻击者可能会利用该漏洞。

安全研究人员表示，此漏洞是由于启用可能导致 XML 外部实体注入的 XML 实体替换，攻击者可以通过提交一个精心制作的 DMG 文件来利用此漏洞，以便在受影响的设备上由 ClamAV 扫描。

值得注意的是，CVE-2023-20052 不会影响 Cisco Secure Web Appliance。也就是说，这2个漏洞都已在 ClamAV 版本 0.103.8、0.105.2 和 1.0.1 中得到解决。