LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1953-1 clamav

Bulletin d'alerte Debian

DLA-1953-1 clamav -- Mise à jour de sécurité pour LTS

Date du rapport :

10 octobre 2019

Paquets concernés :

clamav

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 34359.
Dans le dictionnaire CVE du Mitre : CVE-2019-12625, CVE-2019-12900.

Plus de précisions :

Clamav, le moteur antivirus au source libre, est sujet aux vulnérabilités de sécurité suivantes.

• CVE-2019-12625

  Vulnérabilité de déni de service (DoS), conséquence de temps d’analyse trop longs dûs à des bombes zip non récursives. Entre autres, ce problème était atténué par l’introduction d’une limite de temps d’analyse.

• CVE-2019-12900

  Écriture hors limites dans la bibliothèque bzip2 NSIS de ClamAV lors de l’essai de décompression dans le cas ou le nombre de sélecteurs excédait la limite maximale définie par la bibliothèque.

  Cette mise à jour déclenche une transition de libclamav7 à libclamav9. En conséquence, plusieurs autres paquets seront recompilés à partir du paquet corrigé après la publication de cette mise à jour : dansguardian, havp, python-pyclamav et c-icap-modules.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.101.4+dfsg-0+deb8u1.

Nous vous recommandons de mettre à jour vos paquets clamav.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.