Vigil@nce - ClamAV : huit vulnérabilités
juin 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de ClamAV.
– Produits concernés : ClamAV, Fedora, MBS, openSUSE, Ubuntu
– Gravité : 2/4
– Date création : 29/04/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans ClamAV.
Un attaquant peut provoquer une boucle infinie avec un fichier
y0da, afin de mener un déni de service. [grav:2/4 ; CVE-2015-2221]
Un attaquant peut utiliser un fichier Petite Packed, afin de mener
un déni de service. [grav:2/4 ; CVE-2015-2222]
Un attaquant peut utiliser un fichier Upack Packed, afin de mener
un déni de service. [grav:2/4]
Un attaquant peut utiliser un fichier PE, afin de mener un déni
de service. [grav:2/4]
Un attaquant peut provoquer une boucle infinie via un fichier xz,
afin de mener un déni de service. [grav:2/4 ; CVE-2015-2668]
Un attaquant peut provoquer un buffer overflow dans la fonction
regcomp() de Henry Spencer regex, afin de mener un déni de
service, et éventuellement d’exécuter du code
(VIGILANCE-VUL-16412). [grav:2/4 ; CVE-2015-2305]
Un attaquant peut utiliser un fichier upx, afin de mener un déni
de service. [grav:2/4 ; CVE-2015-2170]
Un attaquant peut utiliser un fichier HTML, afin de mener un déni
de service. [grav:2/4]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/ClamAV-huit-vulnerabilites-16759