Pular para o conteúdo
ClamAV lançado com atualizações de segurança 1.5.3 e 1.4.5 corrigindo múltiplos CVEs

ClamAV lançado com atualizações de segurança 1.5.3 e 1.4.5 corrigindo múltiplos CVEs

Atualizações de segurança do ClamAV 1.5.3 e 1.4.5 corrigem vulnerabilidades críticas, incluindo estouros de buffer, falhas de inspeção de arquivos e problemas de tempo-de-teste/tempo-de-uso. Saiba como proteger seus sistemas.

O ClamAV publicou hoje (1º de julho de 2026) versões de patch de segurança para as séries 1.5.x e 1.4.x. As atualizações estão disponíveis para download na página de downloads do ClamAV, na página de lançamentos do GitHub e através de containers Docker (Alpine e Debian) no Docker Hub. Os containers podem levar alguns instantes para ficarem disponíveis após o lançamento.

ClamAV 1.5.3

A versão 1.5.3 corrige as seguintes vulnerabilidades e problemas:

  • CVE‑2026‑20217 – Corrigido um erro no caminho de limpeza do desempacotador PESpin que poderia liberar ponteiros para o buffer do arquivo escaneado e causar a interrupção do scanner. A falha afetava as versões 1.5.2, 1.4.4 e todas as versões anteriores desde 2005. Solução incluída nas versões 1.5.3 e 1.4.5. [Atribuído a Atuin – Motor de Descoberta Automatizada de Vulnerabilidades e Tianchu Chen do Tencent Xuanwu Lab]

  • CVE‑2026‑20213 – Corrigido um estouro de inteiro nos cálculos de tamanho de reconstrução PE que poderia ser acionado por um arquivo PE malformado empacotado com Aspack, resultando em escrita em buffer de heap. A falha afetava as versões 1.5.2, 1.4.4 e versões anteriores desde 2007. Solução incluída nas versões 1.5.3 e 1.4.5. [Atribuído a Trail of Bits, em colaboração com Anthropic]

  • CVE‑2026‑20216 – Corrigida uma falha de bypass no limite de extração de arquivos InstallShield que poderia escrever muito mais dados temporários do que o esperado e esgotar o armazenamento temporário. A falha afetava as versões 1.5.2, 1.4.4 e versões anteriores desde 2009. Solução incluída nas versões 1.5.3 e 1.4.5. [Atribuído a Mizu]

  • CVE‑2026‑20214 – Corrigido um underflow de loop no desempacotador FSG que poderia escrever além do array de seções ao escanear um arquivo PE malformado. A falha afetava as versões 1.5.2, 1.4.4 e versões anteriores desde 2004. Solução incluída nas versões 1.5.3 e 1.4.5. [Atribuído a Trail of Bits, em colaboração com Anthropic]

  • CVE‑2026‑20243 – Corrigidos bugs de manipulação de tamanho no parser ALZ que poderiam causar o panic de arquivos ALZ malformados, abortar o scanner ou ignorar o manuseio esperado do limite de verificação. A falha afetava as versões 1.5.0–1.5.2 e 1.4.0–1.4.4. Solução incluída nas versões 1.5.3 e 1.4.5. [Atribuído a Yazdan Soltani]

  • CVE‑2026‑20215 – Corrigido um estouro de contagem de substreams no parser 7z que poderia subalocar arrays de metadados do parser e escrever além deles ao ler um arquivo malformado. A falha afetava as versões 1.5.2, 1.4.4 e versões anteriores desde 2009. Solução incluída nas versões 1.5.3 e 1.4.5. [Atribuído a Trail of Bits, em colaboração com Anthropic]

  • CVE‑2026‑20244 – Corrigidas verificações de tamanho do parser DMG de 32 bits que poderiam permitir que uma tabela de stripe mish curta passasse na validação e causasse a interrupção de compilações de scanner de 32 bits. A falha afetava compilações de 32 bits do ClamAV desde a versão 0.98.1 até a 1.5.2 (incluindo 1.4.0–1.4.4 e 1.5.0–1.5.2). Compilações de 64 bits não são afetadas. Solução incluída nas versões 1.5.3 e 1.4.5. [Atribuído a Stanley John Tobias]

  • Hardening de ações de quarentena – Fortaleceu clamscan, clamdscan e clamonacc contra raças de tempo-de-verificação/tempo-de-uso que poderiam redirecionar arquivos copiados, movidos ou removidos sob configurações inseguras de diretório de quarentena. [Atribuído a Hiroki Imai da Ricerca Security, Inc.]

  • Atualização de dependências Rust – Atualizou a dependência tar para resolver os avisos RUSTSEC‑2026‑0067 e RUSTSEC‑2026‑0068, e atualizou a dependência openssl para resolver CVE‑2026‑41676.

  • Requerimento de CMake – Elevou a versão mínima requerida do CMake para 3.17 para corrigir compilações Linux com libcurl v8.21.0 ao vincular dependências de biblioteca estática.

  • Análise prévia de metadados – Agora as verificações prévias de metadados são executadas antes do veredito final da verificação.

  • Correções do ClamOnAcc

    • Corrigidos erros quando caminhos recursivamente excluídos são filhos de um caminho incluído.
    • Corrigida corrupção de lista de balde de hash quando dois caminhos monitorados colidem no mesmo balde. Estas correções são cortesia de sharkautarch.

ClamAV 1.4.5

A versão 1.4.5 corrige as mesmas vulnerabilidades listadas acima para a série 1.4.x, incluindo:

  • Todos os CVEs mencionados (20217, 20213, 20216, 20214, 20243, 20215, 20244)
  • Hardening de ações de quarentena
  • Atualização da versão mínima do CMake para 3.17
  • Correções do ClamOnAcc (cortesia de sharkautarch)

Como obter as atualizações

Os arquivos de lançamento para ambas as versões estão disponíveis para download na página de downloads do ClamAV, na página de lançamentos do GitHub e através de containers Docker (Alpine e Debian) no Docker Hub. Os containers podem levar alguns instantes para ficarem disponíveis após o lançamento.

Impacto

Estas atualizações corrigem falhas críticas que poderiam permitir a execução remota de código, negação de serviço ou evasão de detecção através de arquivos especialmente craftados. Usuários e administradores de sistemas devem atualizar para as versões 1.5.3 ou 1.4.5 assim que possível para garantir a proteção contínua contra as vulnerabilidades conhecidas.

Agradecimentos

O projeto agradece aos pesquisadores que identificaram estas questões, incluindo as equipes da Atuin, Tencent Xuanwu Lab, Trail of Bits (em colaboração com Anthropic), Mizu, Yazdan Soltani e Stanley John Tobias, bem como a Hiroki Imai da Ricerca Security, Inc.

Via blog.clamav.net. Você pode conferir o post original em inglês:

ClamAV 1.5.3 e 1.4.5 versões de patch de segurança publicadas

Por · Última atualização: