Cisco Systemsはこのほど、「ClamAV® blog: ClamAV 0.103.8, 0.105.2 and 1.0.1 patch versions published」において、オープンソースで提供されているアンチウイルスソフトウェア「ClamAV」に存在する複数の重大な脆弱性に対応したと伝えた。パッチが適用されていないバージョンを利用している場合、攻撃者によって影響を受けるデバイス上でリモートからコードが実行され危険性があるとされている。
パッチが適用された重大な脆弱性は次のとおり。
- CVE-2023-20032 - HFS+ ファイルパーサに存在するリモートコード実行(RCE: Remote Code Execution)の可能性がある脆弱性
- CVE-2023-20052 - DMG ファイルパーサに存在するリモートでの情報漏洩の脆弱性
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- ClamAV 1.0.0以前のバージョン
- ClamAV 0.105.1以前のバージョン
- ClamAV 0.103.7以前のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- ClamAV 0.103.8
- ClamAV 0.105.2
- ClamAV 1.0.1
なお、ClamAV 0.104はClamAV End of Life (EOL)ポリシーに基づき製品寿命に達したため、パッチは適用されないと発表している。
シスコはユーザーに対してセキュリティ情報を確認するとともに、必要に応じてアップデートを実施することを推奨している。またサポートが終了したバージョンを利用している場合は、できるだけ早くサポートされているバージョンに切り替えることが望まれている。