ClamAV 0.101.4は、次の問題に対処するセキュリティパッチリリースです。

  - セレクター数がライブラリで設定された最大制限を超えた場合に展開を試みると、ClamAVのNSIS bzip2ライブラリ内で領域外の書き込みが可能でした（CVE-2019-12900）。この制限を遵守することで、問題が解決されました。

    この問題を報告してくれたMartin Simmons氏に感謝の意を表します。

  - 0.101.3で緩和されたzip爆弾の脆弱性には、CVE識別子CVE-2019-12625が割り当てられています。
    残念ながら、zip爆弾の緩和策の回避策が即座に見つかりました。zip爆弾のスキャン時間の問題を修正するために、スキャン時間制限が 0.101.4で導入されました。この制限により、CVE-2019-12625に対するClamAVの脆弱性が解決されます。

    デフォルトのスキャン時間制限は2分（120000ミリ秒）です。

    制限時間をカスタマイズするには：

  - clamscan --max-scantimeオプションを使用します

  - clamd MaxScanTime configオプションを使用します

    Libclamavのユーザーは、cl_engine_set_num関数を使用して時間制限をカスタマイズできます。例：

    C cl_engine_set_num（engine、CL_ENGINE_MAX_SCANTIME、time_limit_milliseconds）

    0.101.3のzip爆弾緩和をレビューし、問題を報告してくれたDavid Fifield氏に感謝の意を表します。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Fedora 29：clamav（2019-aabcb53ec6）

critical Nessus プラグイン ID 128437

バージョン 1.4