В сфере информационной безопасности даже самые проверенные инструменты требуют постоянного внимания, особенно когда речь идёт о фундаментальных компонентах защиты, таких как антивирусные сканеры. Четвёртого марта 2026 года разработчики популярного открытого антивирусного движка ClamAV выпустили экстренные обновления версий 1.5.2 и 1.4.4. Поводом стала ошибка в обработке исключений, которая может привести к полному отказу в обслуживании, то есть к падению процесса сканирования. Эта новость касается не только администраторов, использующих ClamAV в почтовых шлюзах или файловых хранилищах, но и миллионов пользователей коммерческого продукта Cisco Secure Endpoint, в основе которого лежит этот самый движок.
Уязвимость CVE-2026-20031
Суть проблемы, получившей идентификатор CVE-2026-20031, заключается в некорректной обработке ошибок в модуле парсера каскадных таблиц стилей (CSS), встроенных в HTML-файлы. Уязвимость связана с ошибкой при разделении строк в кодировке UTF-8. Для эксплуатации злоумышленнику достаточно отправить на сканирование специально сформированный HTML-файл. В случае успешной атаки процесс ClamAV аварийно завершается, что нарушает рабочий цикл сканирования и может парализовать защиту на входящем трафике, например, в почтовом сервере. Важно отметить, что для атаки не требуется аутентификация, а её сложность оценивается как низкая, что делает угрозу потенциально массовой.
Эксперты классифицировали уязвимость по стандарту CWE-248, что означает «неперехваченное исключение». Это классическая программная ошибка, когда код не предусматривает корректной реакции на нештатную ситуацию, приводящую к аварийному завершению программы. В контексте антивирусного сканера такие сценарии особенно опасны, так как атака направлена не на кражу данных, а на подрыв самой системы защиты, что может быть первым этапом более масштабной кампании. CVSS-оценка уязвимости составляет 5.3 балла, что соответствует среднему уровню серьёзности. Основной ущерб заключается в нарушении доступности, поскольку атака приводит к отказу в обслуживании.
Масштаб проблемы подчёркивает список затронутых версий. Уязвимость присутствовала во всех сборках ClamAV, начиная с версии 1.1.0, и вплоть до исправленных 1.4.4 и 1.5.2. Это означает, что потенциально риску подвержены системы, обновлявшие движок на протяжении многих лет. Кроме того, Cisco подтвердила, что уязвимость затрагивает множество версий её коммерческого продукта Cisco Secure Endpoint, включая актуальные сборки. Таким образом, угроза выходит за рамки сообщества open-source и затрагивает корпоративный сектор, где подобные решения используются для защиты конечных точек.
Помимо основной уязвимости, обновления исправляют и другие критические проблемы. Среди них - возможность бесконечного цикла при сканировании определённых JPEG-файлов, устранённая за счёт обновления библиотеки обработки изображений, написанной на Rust. Однако это улучшение имеет побочный эффект: теперь для сборки ClamAV требуется более новая версия компилятора Rust. Также были исправлены потенциальный сбой на платформе Windows при использовании функций работы с временными файлами и проблема верификации цифровых подписей вирусных баз. Все эти исправления в совокупности повышают общую стабильность и отказоустойчивость движка.
Каковы практические последствия для организаций? В первую очередь, падение процесса ClamAV может привести к скоплению неотсканированных файлов в очередях почтовых серверов или систем обмена файлами. В худшем случае это может вызвать простои в работе служб, зависящих от результатов антивирусной проверки. Злоумышленники могут использовать эту атаку как отвлекающий манёвр, чтобы протащить вредоносный код в момент, когда защита временно не функционирует, или для дестабилизации работы критической инфраструктуры.
Что же делать специалистам по информационной безопасности? Меры очевидны, но от этого не менее важны. Необходимо в приоритетном порядке обновить ClamAV до версии 1.5.2 или 1.4.4 на всех системах, где он используется как самостоятельное решение. Администраторам Cisco Secure Endpoint следует обратиться к бюллетеню безопасности компании и установить рекомендуемые патчи. Кроме того, в качестве дополнительной меры предосторожности стоит проанализировать логи на предмет попыток отправки подозрительных HTML-файлов на сканирование в период до установки обновления. Мониторинг состояния процессов антивирусного сканирования также должен быть усилен, чтобы оперативно выявлять факты аварийного завершения работы.
В заключение, инцидент с CVE-2026-20031 служит своевременным напоминанием о том, что безопасность - это непрерывный процесс. Даже такие зрелые и широко применяемые проекты, как ClamAV, не застрахованы от ошибок, которые могут поставить под угрозу целые цепочки обработки информации. Своевременное применение исправлений остаётся самым эффективным способом защиты. Между тем, переход на более новые версии компиляторов, как в случае с Rust, подчёркивает постоянную эволюцию инструментальной базы, которая, в свою очередь, требует от ИТ-отделов поддержания инфраструктуры в актуальном состоянии.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20031
- https://blog.clamav.net/2026/03/clamav-152-and-144-security-patch.html
