سیسکو بهروزرسانیهای امنیتی را برای رفع نقص حیاتی گزارش شده در موتور آنتی ویروس منبع باز ClamAV ارائه کرده است که میتواند منجر به اجرای کد از راه دور در دستگاههای حساس شود.
این مشکل که بهعنوان CVE-2023-20032 شناسایی میشود (امتیاز CVSS: 9.8)، به یک مورد از اجرای کد از راه دور مربوط میشود که در parser فایل HFS+ وجود دارد.
این نقص بر نسخههای 1.0.0 و قبلتر، 0.105.1 و نسخههای قبلی و 0.103.7 و نسخههای قدیمیتر تأثیر میگذارد. مهندس امنیت گوگل، سایمون اسکنل، مسئول کشف و گزارش این باگ است.
Cisco Talos در مشاوره ای گفت: "این آسیب پذیری به دلیل عدم بررسی اندازه بافر است که ممکن است منجر به نوشتن سرریز بافر در پشته شود." یک مهاجم می تواند با ارسال یک فایل پارتیشن HFS+ ساخته شده برای اسکن شدن توسط ClamAV در دستگاه آسیب دیده از این آسیب پذیری سوء استفاده کند.
بهرهبرداری موفقیتآمیز از ضعف میتواند به دشمن اجازه دهد تا کد دلخواه را با همان امتیازات فرآیند اسکن ClamAV اجرا کند، یا فرآیند را از کار بیندازد و منجر به شرایط انکار سرویس (DoS) شود.
سیسکو گفت محصولات زیر آسیب پذیر هستند :
او همچنین تأیید کرد که این آسیبپذیری بر محصولات Secure Email Gateway (سابق Email Security Appliance) و Secure Email و Web Manager (Secure Email Management Appliance) تأثیری نمیگذارد.
همچنین توسط Cisco یک آسیبپذیری نشت اطلاعات از راه دور در تجزیهکننده فایل DMG ClamAV (CVE-2023-20052، امتیاز CVSS: 5.3) وصله شده است که میتواند توسط یک مهاجم غیرقانونی و از راه دور مورد سوء استفاده قرار گیرد.
سیسکو خاطرنشان کرد: "این آسیب پذیری به دلیل فعال کردن جایگزینی موجودیت XML است که ممکن است منجر به تزریق موجودیت خارجی XML شود." یک مهاجم می تواند با ارسال یک فایل DMG دستکاری شده برای اسکن شدن توسط ClamAV در دستگاه آسیب دیده از این آسیب پذیری سوء استفاده کند.
شایان ذکر است که CVE-2023-20052 بر Cisco Secure Web Appliance تأثیری ندارد. گفته شد، هر دو آسیبپذیری در نسخههای ClamAV 0.103.8، 0.105.2 و 1.0.1 برطرف شدهاند.
سیسکو به طور جداگانه همچنین یک آسیبپذیری انکار سرویس (DoS) را که بر داشبورد Cisco Nexus (CVE-2023-20014، امتیاز CVSS: 7.5) و دو نقص دیگر افزایش امتیاز و تزریق فرمان در Email Security Appliance (ESA) و Secure Email تأثیر میگذاشت، برطرف کرد.
این مشکل که بهعنوان CVE-2023-20032 شناسایی میشود (امتیاز CVSS: 9.8)، به یک مورد از اجرای کد از راه دور مربوط میشود که در parser فایل HFS+ وجود دارد.
این نقص بر نسخههای 1.0.0 و قبلتر، 0.105.1 و نسخههای قبلی و 0.103.7 و نسخههای قدیمیتر تأثیر میگذارد. مهندس امنیت گوگل، سایمون اسکنل، مسئول کشف و گزارش این باگ است.
Cisco Talos در مشاوره ای گفت: "این آسیب پذیری به دلیل عدم بررسی اندازه بافر است که ممکن است منجر به نوشتن سرریز بافر در پشته شود." یک مهاجم می تواند با ارسال یک فایل پارتیشن HFS+ ساخته شده برای اسکن شدن توسط ClamAV در دستگاه آسیب دیده از این آسیب پذیری سوء استفاده کند.
بهرهبرداری موفقیتآمیز از ضعف میتواند به دشمن اجازه دهد تا کد دلخواه را با همان امتیازات فرآیند اسکن ClamAV اجرا کند، یا فرآیند را از کار بیندازد و منجر به شرایط انکار سرویس (DoS) شود.
سیسکو گفت محصولات زیر آسیب پذیر هستند :
- Secure Endpoint, formerly Advanced Malware Protection (AMP) for Endpoints (Windows, macOS, and Linux)
- Secure Endpoint Private Cloud, and
- Secure Web Appliance, formerly Web Security Appliance
او همچنین تأیید کرد که این آسیبپذیری بر محصولات Secure Email Gateway (سابق Email Security Appliance) و Secure Email و Web Manager (Secure Email Management Appliance) تأثیری نمیگذارد.
همچنین توسط Cisco یک آسیبپذیری نشت اطلاعات از راه دور در تجزیهکننده فایل DMG ClamAV (CVE-2023-20052، امتیاز CVSS: 5.3) وصله شده است که میتواند توسط یک مهاجم غیرقانونی و از راه دور مورد سوء استفاده قرار گیرد.
سیسکو خاطرنشان کرد: "این آسیب پذیری به دلیل فعال کردن جایگزینی موجودیت XML است که ممکن است منجر به تزریق موجودیت خارجی XML شود." یک مهاجم می تواند با ارسال یک فایل DMG دستکاری شده برای اسکن شدن توسط ClamAV در دستگاه آسیب دیده از این آسیب پذیری سوء استفاده کند.
شایان ذکر است که CVE-2023-20052 بر Cisco Secure Web Appliance تأثیری ندارد. گفته شد، هر دو آسیبپذیری در نسخههای ClamAV 0.103.8، 0.105.2 و 1.0.1 برطرف شدهاند.
سیسکو به طور جداگانه همچنین یک آسیبپذیری انکار سرویس (DoS) را که بر داشبورد Cisco Nexus (CVE-2023-20014، امتیاز CVSS: 7.5) و دو نقص دیگر افزایش امتیاز و تزریق فرمان در Email Security Appliance (ESA) و Secure Email تأثیر میگذاشت، برطرف کرد.