思科ClamAV反恶意软件扫描器曝严重安全漏洞

John Leyden
2023年2月22日 14:23 UTC

漏洞概述

思科捆绑反恶意软件扫描器产品中的安全缺陷给该网络巨头的部分产品带来了严重安全风险。具体而言，ClamAV扫描库中的漏洞（追踪为CVE-2023-20032）对思科安全Web设备以及多个版本的思科安全终端（包括Windows、MacOS、Linux和云版本）构成了严重安全威胁。

该漏洞源于ClamAV的HFS+分区文件解析器中缺少缓冲区大小检查，在扫描HFS+分区文件时会造成堆缓冲区溢出风险。攻击者可创建恶意分区文件并通过ClamAV扫描触发漏洞。

思科安全公告指出：“成功利用该漏洞可使攻击者以ClamAV扫描进程的权限执行任意代码，或使进程崩溃导致拒绝服务（DoS） condition。”

该漏洞由谷歌工程师Simon Scannell发现，同时发现的还有同一技术中DMG文件解析器的远程信息泄露漏洞（CVE-2023-20052）。思科已于上周发布安全公告并提供受影响产品的补丁。

ClamAV（Clam AntiVirus）是一款最初为Unix开发的反恶意软件工具包，十年前被思科收购后已移植到Linux、macOS和Windows等操作系统。其主要应用场景是作为邮件服务器端的恶意邮件扫描器。

德国网络安全厂商ONEKEY的技术博文指出，ClamAV中的这两个漏洞表明"文件格式解析是一项困难且复杂的任务"。

相关标签：漏洞分析、网络安全、反病毒软件、缓冲区溢出、远程代码执行