 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 13 mars 2007
No CERTA-2007-AVI-093-002 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans ClamAV
Tableau 1: Gestion du document
| Référence |
CERTA-2007-AVI-093-002 |
| Titre |
Multiples
vulnérabilités dans ClamAV |
| Date de la première
version |
16 février 2007 |
| Date de la dernière
version |
13 mars 2007 |
| Source(s) |
Bulletins de
sécurité iDefense 475 et 476 du 15
février 2007 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Contournement de la politique de sécurité
;
- déni de service à distance.
- ClamAV version 0.90RC1.1 et antérieures.
Plusieurs vulnérabilités présentes dans
ClamAV permettent à un utilisateur distant de
contourner la politique de sécurité ou de
réaliser un déni de service.
Deux vulnérabilités ont été
identifiées dans ClamAV :
- un problème de libération de ressources
lors de la validation de l'entête des fichiers de type
cabinet (fichier CAB)
peut permettre à une personne distante
malintentionnée de réaliser un déni de
service en bloquant toutes les ressources disponibles ;
- un manque de validation d'un paramètre des
entêtes MIME pourrait permettre à un
utilisateur malveillant de contourner la politique de
sécurité en modifiant des fichiers
protégés de l'antivirus.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 16 février 2007
- version initiale ;
- 21 février 2007
- ajout de la référence Mandriva ;
- 13 mars 2007
- ajout des références Debian, SuSE et
Gentoo.
CERTA
2012-01-04
|
|
)
