Cisco 的 ClamAV 是使用最广泛的开源防病毒引擎之一,它发布了 1.4.3 和 1.0.9 版本,以解决两个可能导致拒绝服务 (DoS) 和在极端情况下远程代码执行的重大安全漏洞。这些漏洞被跟踪为 CVE-2025-20260 (CVSS 9.8) 和 CVE-2025-20234 (CVSS 5.3),对依赖 ClamAV 扫描大型 PDF 或基于 UDF 的文件的组织构成了风险。
第一个漏洞被跟踪为 CVE-2025-20260,评级为 CVSS 9.8,源于 ClamAV 在配置较大扫描限制时如何处理 PDF 文件。PDF 扫描期间内存分配不当会导致缓冲区溢出,从而导致:
- 防病毒引擎 (DoS) 崩溃
- 潜在的远程代码执行,具体取决于系统架构和运行时条件
“ClamAV 的 PDF 扫描过程中存在一个漏洞,可能允许未经身份验证的远程攻击者造成缓冲区溢出…或执行任意代码,“Cisco 警告说。
漏洞利用仅在特定配置下触发,即:
- max-filesize 设置为 ≥1024MB
- max-scan-size 设置为 ≥1025MB
这些设置通常用于企业或高吞吐量环境,这使得该错误在 ClamAV 扫描大型文档存档或电子邮件附件的生产系统中特别危险。
尽管该代码缺陷在版本 1.0.0 之前就已存在,但版本 1.0.0 中的更改使得该漏洞可通过从不受信任的输入中启用更大的内存分配而得到利用。
第二个漏洞 CVE-2025-20234 的 CVSS 评分为 5.3,会影响引擎使用通用磁盘格式 (UDF)(DVD 和 ISO 映像上常见的一种文件系统格式)处理文件的能力。
“此漏洞是由于 UDF 文件扫描期间的内存过度读取造成的,”公告指出。
通过提交格式错误的 UDF 文件,攻击者可利用此缺陷触发 DoS 条件,从而终止 ClamAV 扫描进程并降低主机系统的安全状况。
此错误在 1.2.0 版中引入,并在 1.4.3 修补程序中得到解决。
Cisco 已在以下修补版本中解决了这两个漏洞:
- 蛤蜊AV 1.4.3
- ClamAV 1.0.9 (适用于长期支持用户)
强烈建议用户尽快升级,尤其是在使用会增加扫描阈值的自定义配置时。
发表评论
您还未登录,请先登录。
登录