Avis du CERT-FR

Objet: Vulnérabilité dans ClamAV

Gestion du document

Référence	CERTA-2008-AVI-553
Titre	Vulnérabilité dans ClamAV
Date de la première version	13 novembre 2008
Date de la dernière version	13 novembre 2008
Source(s)	Notes de modifications de la version 0.94.1

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Déni de service à distance
Exécution de code arbitraire à distance

Systèmes affectés

ClamAV versions antérieures à 0.94.1.

Résumé

Une vulnérabilité dans ClamAV permet à une personne malintentionnée distante d'effectuer un déni de service voire d'exécuter du code arbitraire.

Description

Une vulnérabilité a été identifiée dans la fonction get_unicode_name() dans le fichier vba_extract.c de ClamAV. Son exploitation peut permettre à une personne malintentionnée distante d'effectuer un déni de service voire d'exécuter du code arbitraire.

Solution

La version 0.94.1 de ClamAV corrige ce problème.

Documentation

Notes de modificiations de la version 0.94.1 :

http://sourceforge.net/project/shownotes.php?release_id=637952&group_id=86638

Site web de ClamAV :

http://www.clamav.net

Gestion détaillée du document

le 13 novembre 2008: version initiale.