PT-2021-2686 · Clamav+5 · Clamav+5
Publicado
2021-04-08
·
Atualizado
2026-02-06
·
CVE-2021-1405
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Software Clam AntiVirus (ClamAV), versões 0.103.1 e todas as versões anteriores
Software Clam AntiVirus (ClamAV), versões 0.103.0 e 0.103.1
Descrição
Uma vulnerabilidade no módulo de análise de e-mails e no módulo de análise de PDFs do software Clam AntiVirus (ClamAV) pode permitir que um invasor remoto não autenticado provoque uma condição de negação de serviço em um dispositivo afetado. A vulnerabilidade se deve à inicialização inadequada de variáveis e ao rastreamento incorreto do tamanho do buffer, o que pode resultar na leitura de um ponteiro NULL ou na leitura excessiva do buffer da pilha. Um invasor poderia explorar essa vulnerabilidade enviando um e-mail ou arquivo PDF malicioso para um dispositivo afetado, permitindo que o invasor cause a falha do processo de verificação do ClamAV, resultando em uma condição de negação de serviço.
Recomendações
Para as versões 0.103.1 e todas as versões anteriores do software Clam AntiVirus (ClamAV), atualize para uma versão que corrija o problema de inicialização incorreta de variáveis.
Para as versões 0.103.0 e 0.103.1 do software Clam AntiVirus (ClamAV), atualize para uma versão que corrija o problema de rastreamento incorreto do tamanho do buffer.
Como solução alternativa temporária, considere restringir a entrada nos módulos de análise de e-mail e PDF para minimizar o risco de exploração.
Correção
DoS
RCE
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Clam Antivirus
Clamav
Linuxmint
Suse
Ubuntu