ClamAVに複数の重大な脆弱性が存在、ただちに更新を

Cisco Systemsはこのほど、「ClamAV® blog: ClamAV 0.103.8, 0.105.2 and 1.0.1 patch versions published」において、オープンソースで提供されているアンチウイルスソフトウェア「ClamAV」に存在する複数の重大な脆弱性に対応したと伝えた。パッチが適用されていないバージョンを利用している場合、攻撃者によって影響を受けるデバイス上でリモートからコードが実行され危険性があるとされている。

パッチが適用された重大な脆弱性は次のとおり。

CVE-2023-20032 - HFS+ ファイルパーサに存在するリモートコード実行(RCE: Remote Code Execution)の可能性がある脆弱性

CVE-2023-20052 - DMG ファイルパーサに存在するリモートでの情報漏洩の脆弱性

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

ClamAV 1.0.0以前のバージョン
ClamAV 0.105.1以前のバージョン
ClamAV 0.103.7以前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

ClamAV 0.103.8
ClamAV 0.105.2
ClamAV 1.0.1

なお、ClamAV 0.104はClamAV End of Life (EOL)ポリシーに基づき製品寿命に達したため、パッチは適用されないと発表している。

シスコはユーザーに対してセキュリティ情報を確認するとともに、必要に応じてアップデートを実施することを推奨している。またサポートが終了したバージョンを利用している場合は、できるだけ早くサポートされているバージョンに切り替えることが望まれている。