Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de ClamAV.

– Produits concernés : ClamAV, Fedora, MBS, openSUSE, Ubuntu
– Gravité : 2/4
– Date création : 29/04/2015

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans ClamAV.

Un attaquant peut provoquer une boucle infinie avec un fichier
y0da, afin de mener un déni de service. [grav:2/4 ; CVE-2015-2221]

Un attaquant peut utiliser un fichier Petite Packed, afin de mener
un déni de service. [grav:2/4 ; CVE-2015-2222]

Un attaquant peut utiliser un fichier Upack Packed, afin de mener
un déni de service. [grav:2/4]

Un attaquant peut utiliser un fichier PE, afin de mener un déni
de service. [grav:2/4]

Un attaquant peut provoquer une boucle infinie via un fichier xz,
afin de mener un déni de service. [grav:2/4 ; CVE-2015-2668]

Un attaquant peut provoquer un buffer overflow dans la fonction
regcomp() de Henry Spencer regex, afin de mener un déni de
service, et éventuellement d’exécuter du code
(VIGILANCE-VUL-16412). [grav:2/4 ; CVE-2015-2305]

Un attaquant peut utiliser un fichier upx, afin de mener un déni
de service. [grav:2/4 ; CVE-2015-2170]

Un attaquant peut utiliser un fichier HTML, afin de mener un déni
de service. [grav:2/4]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/ClamAV-huit-vulnerabilites-16759