Risque
- Exécution de commandes arbitraires à distance
Systèmes affectés
ClamAV version 0.86.1 et versions antérieures.
Description
ClamAV est un logiciel antivirus libre (GPL).
Trois vulnérabilités ont été identifiées dans ce logiciel. Ces vulnérabilités pourraient être exploitées par un attaquant par l'envoi d'un mail malicieusement construit qui premettraient d'exécuter du code arbitraire à distance.
Solution
Mettre à jour le logiciel en passant à la version 0.86.2 :
http://sourceforge.net/project/showfiles.php?group_id=86638&release_id=344514
Documentation
- Bulletin de sécurité FreeBSD du 25 juillet 2005 : http://www.vuxml.org/freebsd/pkg-clamav.html
- Bulletin de sécurité Gentoo GLSA 200507-25 du 26 juillet 2005 : http://www.gentoo.org/security/en/glsa/glsa-200507-25.xml
- Bulletin de sécurité Mandriva MDKSA-2005:125 du 27 juillet 2005 : http://www.mandriva.com/security/advisories?name=MDKSA-2005:125
- Bulletin de sécurité OpenBSD pour clamav du 27 juillet 2005 : http://www.vuxml.org/openbsd/pkg-clamav.html
- Bulletin de sécurité SUSE SUSE-SR:2005:018 du 28 juillet 2005 : http://www.novell.com/linux/security/advisories/2005_18_sr.html
- Bulletin de sécurité du site rem0te.com : http://www.rem0te.com/public/images/clamav.pdf
- Site de l'éditeur de ClamAV : http://sourceforge.net/project/showfiles.php?release_id=344514
