LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2020 / Informations sur la sécurité -- DLA-2314-1 clamav

Bulletin d'alerte Debian

DLA-2314-1 clamav -- Mise à jour de sécurité pour LTS

Date du rapport :

6 août 2020

Paquets concernés :

clamav

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-3327, CVE-2020-3350, CVE-2020-3481.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la boîte à outils antivirus ClamAV.

• CVE-2020-3327

  Une lecture hors limites dans le module d’analyse d’archives ARJ pouvait provoquer un déni de service. Le correctif dans la version 0.102.3 était incomplet.

• CVE-2020-3350

  Un utilisateur malveillant pouvait amener clamscan, clamdscan ou clamonacc à déplacer ou supprimer un fichier différent de celui attendu quand ceux-ci étaient utilisés avec une des options --move ou --remove. Cela pouvait être utilisé pour supprimer des fichiers spéciaux du système.

• CVE-2020-3481

  Le module d’archive EGG était vulnérable à un déni de service à l’aide d’un déréférencement de pointeur NULL dû à une gestion incorrecte d’erreur. La base de données officielle de signatures échappait à ce problème car les signatures présentes évitaient l’utilisation de l’analyseur d’archive EGG.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.102.4+dfsg-0+deb9u1.

Nous vous recommandons de mettre à jour vos paquets clamav.

Pour disposer d'un état détaillé sur la sécurité de clamav, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/clamav

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.