Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 02 décembre 2008

N° CERTA-2008-AVI-574

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans ClamAV

Gestion du document

Référence	CERTA-2008-AVI-574
Titre	Vulnérabilité dans ClamAV
Date de la première version	02 décembre 2008
Date de la dernière version	16 décembre 2008
Source(s)	Note de version 0.94.2 de ClamAV
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Déni de service à distance

Systèmes affectés

Toutes les versions antérieures à la version 0.94.2.

Résumé

Une vulnérabilité dans ClamAV permet à une personne malintentionnée d'effectuer un déni de service à distance.

Description

Une vulnérabilité dans la fonction cli_check_jpeg_exploit() de special.c permet à une personne malintentionnée d'effectuer un déni de service à distance.

Solution

Utiliser la version 0.94.2.

Télécharger la nouvelle version sur le site de l'éditeur (cf. section Documentation).

Documentation

Note de version 0.94.2 de ClamAV

http://www.sourceforge.net/project/shownotes.php?group_id=86638&release_id=643134

Bulletin de sécurité Mandriva MDVSA-2008:239 du 05 décembre 2008 :

http://www.mandriva.com/security/advisories?name=MDVSA-2008:239

Bulletin de sécurité Ubuntu USN-684-1 du 02 décembre 2008 :

http://www.ubuntu.com/usn/usn-684-1

Site du projet ClamAV :

http://www.sourceforge.net/projects/clamav/

Référence CVE CVE-2008-5314

https://www.cve.org/CVERecord?id=CVE-2008-5314

Gestion détaillée du document

le 02 décembre 2008: version initiale ;
le 03 décembre 2008: ajout de la référence Ubuntu.
le 16 décembre 2008: ajout de la référence Mandriva et du CVE.