Cisco a déployé des mises à jour de sécurité pour corriger une faille critique signalée dans le moteur antivirus open source ClamAV qui pourrait conduire à l’exécution de code à distance sur des appareils sensibles.
Suivi comme CVE-2023-20032 (score CVSS : 9,8), le problème concerne un cas d’exécution de code à distance résidant dans le composant d’analyseur de fichiers HFS+.
La faille affecte les versions 1.0.0 et antérieures, 0.105.1 et antérieures et 0.103.7 et antérieures. L’ingénieur en sécurité de Google, Simon Scannell, a été crédité d’avoir découvert et signalé le bogue.
« Cette vulnérabilité est due à une vérification de la taille de la mémoire tampon manquante qui peut entraîner une écriture par débordement de la mémoire tampon du tas, » Cisco Talos a dit dans un avis. « Un attaquant pourrait exploiter cette vulnérabilité en soumettant un fichier de partition HFS+ spécialement conçu pour être analysé par ClamAV sur un appareil affecté. »
L’exploitation réussie de la faiblesse pourrait permettre à un adversaire d’exécuter du code arbitraire avec les mêmes privilèges que celui du processus d’analyse ClamAV, ou de planter le processus, entraînant une condition de déni de service (DoS).
L’équipement réseau a indiqué que les produits suivants sont vulnérables –
- Secure Endpoint, anciennement Advanced Malware Protection (AMP) for Endpoints (Windows, macOS et Linux)
- Secure Endpoint Private Cloud, et
- Secure Web Appliance, anciennement Web Security Appliance
Il a en outre confirmé que la vulnérabilité n’affectait pas les produits Secure Email Gateway (anciennement Email Security Appliance) et Secure Email and Web Manager (anciennement Security Management Appliance).
Cisco a également corrigé une vulnérabilité de fuite d’informations à distance dans l’analyseur de fichiers DMG de ClamAV (CVE-2023-20052, score CVSS : 5,3) qui pourrait être exploitée par un attaquant distant non authentifié.
« Cette vulnérabilité est due à l’activation de la substitution d’entités XML qui peut entraîner l’injection d’entités externes XML », a déclaré Cisco. indiqué. « Un attaquant pourrait exploiter cette vulnérabilité en soumettant un fichier DMG spécialement conçu pour être analysé par ClamAV sur un appareil affecté. »
Il convient de souligner que CVE-2023-20052 n’affecte pas Cisco Secure Web Appliance. Cela dit, les deux vulnérabilités ont été corrigées dans les versions 0.103.8, 0.105.2 et 1.0.1 de ClamAV.
Cisco a également résolu séparément une vulnérabilité de déni de service (DoS) affectant le tableau de bord Cisco Nexus (CVE-2023-20014score CVSS : 7,5) et deux autres failles d’élévation de privilèges et d’injection de commandes dans Email Security Appliance (ESA) et Secure Email and Web Manager (CVE-2023-20009 et CVE-2023-20075scores CVSS : 6,5).