S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 décembre 2007
N° CERTA-2007-AVI-552
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans ClamAV

Gestion du document

Référence CERTA-2007-AVI-552
Titre Vulnérabilité dans ClamAV
Date de la première version19 décembre 2007
Date de la dernière version31 décembre 2007
Source(s) Bulletin de sécurité iDefense 634 du 18 décembre 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

ClamAV versions 0.91.2 et antérieures.

Résumé

Des vulnérabilités dans ClamAV permettent l'exécution de code arbitraire à distance.

Description

Des vulnérabilités ont été découvertes dans les modules ClamAV de traitement des archives au format MEW et bzip2. Un utilisateur malintentionné peut, par le biais d'un fichier compressé, exécuter du code arbitraire à distance.

Solution

Mettre à jour ClamAV en version 0.92 (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 décembre 2007
    version initiale ;
    le 31 décembre 2007
    Ajout des références CVE et des bulletins de sécurité de <SPAN class="textit">Gentoo</SPAN> et <SPAN class= "textit">Debian</SPAN>.