ClamAV устраняет восемь уязвимостей в патчах 1.5.3 и 1.4.5

clamav

Разработчики антивирусного движка ClamAV выпустили корректирующие релизы версий 1.5.3 и 1.4.5, закрывающие восемь уязвимостей, часть из которых существовала в коде проекта более двадцати лет. Обновления опубликованы 1 июля 2026 года. Наибольшую опасность представляют проблемы, способные привести к отказу в обслуживании и переполнению буфера в куче, что в ряде сценариев позволяет злоумышленнику выполнить произвольный код или полностью остановить сканер.

Детали уязвимостей

Уязвимости затрагивают почти все версии ClamAV, начиная с 2004 года. Наиболее длительный срок существования имеет CVE-2026-20214, которая присутствует в коде распаковщика FSG с 2004 года, а также CVE-2026-20217 в очистке распаковщика PESpin, восходящая к 2005 году. Эти проблемы могли быть использованы для аварийного завершения сканера при обработке специально сформированных файлов.

Одна из наиболее опасных уязвимостей - CVE-2026-20213, связанная с целочисленным переполнением при расчёте размеров PE-заголовков. При обработке вредоносного файла, упакованного Aspack, переполнение могло привести к записи за пределами динамического буфера в куче. Эта ошибка затрагивает версии ClamAV начиная с 2007 года. Её обнаружили специалисты компании Trail of Bits совместно с исследователями из Anthropic.

Серия уязвимостей в парсерах архивов затрагивает различные форматы. В InstallShield-архивах (CVE-2026-20216) злоумышленник мог обойти ограничение на извлечение временных данных, что приводило к заполнению всего доступного дискового пространства. Ошибка в парсере ALZ (CVE-2026-20243) позволяла аварийно завершить сканер или пропустить проверку лимитов размера. В парсере 7z (CVE-2026-20215) из-за целочисленного переполнения при подсчёте количества подпотоков могло произойти недораспределение памяти с последующей записью за границы массива метаданных. Все три проблемы присутствуют как минимум с 2009 года.

Отдельно стоит уязвимость CVE-2026-20244, затрагивающая только 32-битные сборки ClamAV. При обработке образов DMG в 32-битной версии проверка размера таблицы разметки могла пропустить некорректный заголовок, что приводило к краху сканера. Проблема затрагивает все 32-битные сборки, начиная с версии 0.98.1 (2013 год). 64-битные версии не подвержены этой уязвимости.

Кроме перечисленных проблем, в новой версии обновлены зависимости Rust: исправлены уязвимости в библиотеках tar и openssl, в том числе CVE-2026-41676, которая также могла быть использована для атаки на отказ в обслуживании.

Пользователям ClamAV рекомендуется немедленно обновить установленные версии до 1.5.3 (для ветки 1.5.x) или 1.4.5 (для ветки 1.4.x). Временных обходных мер защиты не предусмотрено, так как все проблемы исправлены непосредственно в коде. Учитывая, что ClamAV широко применяется в почтовых шлюзах, антивирусных прокси и встроенных системах, эксплуатация этих уязвимостей могла бы парализовать работу систем фильтрации трафика.

Эта серия исправлений подтверждает общую тенденцию: всё больше уязвимостей находят не только в основном коде, но и в парсерах форматов файлов и распаковщиках. Разработчики ClamAV уже несколько лет последовательно улучшают обработку граничных случаев, но legacy-код, написанный до 2010 года, продолжает содержать скрытые ошибки целочисленной арифметики и управления памятью.

Ссылки

Комментарии: 0