ClamAV mit DOS Schwachstelle

Kleine Info für Euch: Das „Meine Security-Software wird zum Problemfall“ Problem hat auch wieder ein Linuxopfer gefunden: ClamAV. Ok, das gibt es auch für Windows, aber ist halt das AV Programm für die OSS Welt.

CVE-2020-3123 in ClamAV

Today, we’re publishing 0.102.2. Navigate to ClamAV’s downloads page to download the release materials.

ClamAV 0.102.2 is a security patch release to address the following issues.

CVE-2020-3123: A denial-of-service (DoS) condition may occur when using the optional credit card data-loss-prevention (DLP) feature. Improper bounds checking of an unsigned variable resulted in an out-of-bounds read, which causes a crash.

Für Euch: Es crasht in einer speziellen Konfiguration beim Scannen von Kreditkarteninfo. Es handelt sich also um ein sehr spezielles Problem. Trotzdem sollte das ein Update wert sein.

Bei Fedora war bis vor einer Stunde noch nichts zu sehen, daher habe ich mal auf den Busch geklopft. Mal sehen was passiert 🙂

Update: Das Problem wurde wohl erst mit 102.0 eingebaut, insofern ist nur betroffen, wer >=102.0 einsetzt. Ist wie beim Exim 4.93 Problem, da war die Schwachstelle auch erst durch ein neues Feature eingeführt worden.