ClamAV 補 7 個高危漏洞,用嚟掃 email/NAS 檔案要快啲查版
Tech News

ClamAV 補 7 個高危漏洞,用嚟掃 email/NAS 檔案要快啲查版

圖片:via iThome — https://www.ithome.com.tw/news/177096
TechLab 編輯部(譯)·

1.5.3 同 1.4.5 修 parser,舊版影響最耐追到 2004 年

今次補乜

ClamAV 今次 security patch 值得睇,原因好現實:你未必會開住佢個 app,但好多 mail gateway、NAS、VPS、CI server 背後都可能拎佢掃附件、壓縮檔同上載檔。ClamAV 官方 7 月 1 日推出 1.5.3 同 1.4.5,修補 7 個 CVE;Cisco advisory 入面,7 個 CVE 嘅 base score 都係 CVSS 7.5。攻擊路徑唔花巧,特製檔案一入到掃描流程,就有機會令掃描引擎停低或者食爆臨時儲存空間。

iThome 報道今次矚目位係漏洞年期好長,官方 release notes 都對得到:CVE-2026-20214 由 2004 年版本開始受影響,CVE-2026-20217 追到 2005 年,CVE-2026-20213 追到 2007 年,CVE-2026-20215 同 CVE-2026-20216 追到 2009 年。新啲嗰個 CVE-2026-20243 主要中 1.4.0 至 1.4.4、1.5.0 至 1.5.2;CVE-2026-20244 就係 32-bit DMG parser,官方話 64-bit build 唔受影響。

舊版風險喺邊

呢類 bug 麻煩位喺拆檔邏輯。防毒要睇檔案入面有咩,就要拆 7z、InstallShield、ALZ、DMG,仲有 PE packer;格式越舊、分支越多,邊界檢查錯漏就越易留低。每日 freshclam 追病毒碼幫唔到呢類 engine 漏洞,因為中招嘅係 clamdclamscan 背後嗰套 parser 同 libclamav。

仲有個容易誤會位:ClamAV 官方支援矩陣話 1.4 係 LTS,最新 patch 係 1.4.5;1.5 最新 patch 係 1.5.3。1.0 LTS 嘅 patch support 已喺 2025 年 11 月 28 日完,雖然 signature download 可去到 2026 年 11 月 28 日。即係部機仲識更新病毒碼,唔代表 engine 仲有官方安全 patch。

要查 engine,唔好淨係查病毒碼

香港好多中小企、學校同個人 NAS,用 ClamAV 多數經 Ubuntu/Debian 套件、Docker Hub image、NAS app、Plesk/cPanel 插件或者 mail server 套件拉落嚟。呢度要小心 distro backport:package version 未必顯示 1.5.3/1.4.5,但 changelog 可能已經 backport 咗 CVE fix;相反,Docker tag 寫 latest 都唔代表 running container 已重建。

實際做法好簡單:查 clamscan --version、package changelog、image digest 同 NAS app 版本,升完要重啟 clamd 或相關 service。Cisco 自家產品都要補,Windows Secure Endpoint Connector 首個修補版係 8.6.2,Linux 係 1.29.0,Mac 係 1.27.2;Private Cloud 本體冇中,但派出去嘅 connector 要跟內容更新上修補版。Cisco 同時確認 Secure Email Gateway 同 Secure Web Gateway 唔喺受影響清單,亦講清楚冇 workaround。

今次未見官方話已大規模攻擊,Cisco 亦寫明未有證據證明呢批漏洞做到 RCE,所以唔使講到世界末日。不過俾外人丟檔案入掃描器嘅服務,本身就係攻擊面;ClamAV 掃唔到、排隊卡住,保護線就會出空窗。IT 管理員今日要做嘅清單好短:唔好停喺 freshclam;確認 engine 已補、服務重啟咗、監控有捉到 clamd crash,同埋 mail/upload pipeline 喺 scanner 掛掉時係拒收、排隊定照放行。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook