 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 26 septembre
2005
No CERTA-2005-AVI-348-003 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans ClamAV
Tableau 1: Gestion du document
| Référence |
CERTA-2005-AVI-348-003 |
| Titre |
Multiples
vulnérabilités dans ClamAV |
| Date de la première
version |
19 septembre 2005 |
| Date de la dernière
version |
29 septembre 2005 |
| Source(s) |
Bulletin de mise à jour
ClamAV du 16 septembre 2005 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service ;
- exécution potentielle de code arbitraire à
distance.
ClamAV versions 0.86.2 et antérieures.
Deux vulnérabilités dans ClamAV permettent
à un utilisateur distant mal intentionné de
provoquer un déni de service ou, potentiellement,
d'exécuter du code arbitraire.
Deux vulnérabilités sont présentes dans
ClamAV :
- la première est due à une erreur dans la
fonction d'analyse des exécutables compressés
à l'aide de l'utilitaire UPX (Ultimate
Packer for eXecutables).
- la deuxième vulnérabilité est due
à une erreur dans la fonction d'analyse des
exécutables compressés à l'aide de
l'utilitaire FSG .
Ces deux vulnérabilités permettent à un
utilisateur distant mal intentionné de provoquer un
déni de service ou, potentiellement, d'exécuter
du code arbitraire par le biais d'un exécutable
malicieusement construit avec UPX ou FSG.
Mettre à jour le logiciel en passant à la version
0.87 disponible à l'adresse suivante :
http://sourceforge.net/project/showfiles.php?group_id=86638&release_id=356974
- 19 septembre 2005
- version initiale.
- 22 septembre 2005
- ajout de la référence au bulletin de
sécurité Mandriva MDKSA-2005:166 et aux
références CVE CAN-2005-2919 et
CAN-2005-2920.
- 26 septembre 2005
- ajout des références aux bulletins de
sécurité FreeBSD et SUSE.
- 29 septembre 2005
- ajout de la référence aux bulletin de
sécurité Debian.
CERTA
2012-01-04
|
|
)
