0.95.4以前にDoS攻撃対象の脆弱性
Vers. 0.95.4以前のClamAVにバッファーオーバフロー攻撃の対象となる可能性のある脆弱性が指摘されました。
ソースコードのlibclamav/pe.cの中で記述されているcli_scanpe関数にバッファオーバフローに対する脆弱性があり、暗号化のPEファイルを細工するとサービスをクラッシュさせることができるとのことです。
CVSS(Vers.2)による評価では、インパクトが2.9と低く、情報漏えい、乗っ取り等の深刻な脅威はないようですが、利用可能性のサブスコアが10と高いため、早急にClamAVのヴァージョンアップで対応することが肝要です。
当社のサービスによりClamAVをご利用のお客様へ
当社の管理下にあるClamAVは、シグネチュアファイルの自動アップデートとあわせて当社独自のヴァージョン監視サービスにて監視されており、常時公式最新版となっています。ご参考までに、今日(2014年12月9日)現在のヴァージョンは0.98.5です。上記の脆弱性は含んでおりません。ご安心ください。