@heiseonline @heisec Heute hat #ubuntu endlich aktualisierte Pakete für die kritischen #sicherheitslücke #CVE202320032 von #calmav mit einem #cvss score von 9.8 rausgebracht. Alle die Ubuntu und ClamAV einsetzen sollten die jetzt schnell installieren.

Ich finde 12 Tage dafür deutlich zu lange und hoffe, dass das zukünftig bei so krassen Lücken wieder schneller geht. Debian hat es ja auch in 5 Tagen geschafft.

https://bugs.launchpad.net/ubuntu/+source/clamav/+bug/2007456

Moin @schlingel kleiner Hinweis am Rande, da Du neulich im Podcast so von der Mailcow geschwärmt hast. Hoffe Du hast alle Updates bei Dir eingespielt. #clamav hat eine sehr unschöne #sicherheitslücke #CVE202320032, welche von den Entwicklern der mailcow aber zum Glück sehr schnell gefiex wurde.

https://www.purrucker.de/2023/02/20/kritische-sicherheitsluecke-in-clamav-cve-2023-20032/

@heiseonline @heisec Bei #ubuntu ist der Status bei der kritischen #sicherheitslücke #CVE202320032 von #calmav mit einem #cvss score von 9.8 immer noch „Needs triage“ mit einer Priorität von gerade mal Medium. Derweil diskutieren die Launchpad User darüber das Update selber zu bauen. Was ist den nur bei Ubuntu los? Sind die da alle am Karneval feiern?

@heiseonline @heisec Endlich ist #clamav in einer gegen die kritische #sicherheitslücke #CVE202320032 abgesicherten Version für die stabilen #debian Versionen 10 (buster) und 11 (bullseye) über die Mirrors erhältlich. Die Webseite/Mailingliste führt es noch nicht auf, aber das kommt vermutlich auch gleich.

https://security-tracker.debian.org/tracker/CVE-2023-20032

Seit 5 Tagen ist bei #clamav die #sicherheitslücke #CVE202320032 mit ein einem #cvss score von 9.8 bekannt, über die @heisec am Freitag berichtete. Ich habe die Systeme die bei mir betroffen sind und den bisherigen Ablauf bei dem Bekanntwerden der Sicherheitslücke mal in einem Blogbeitrag festgehalten. Die Liste mit den verfügbaren Updates werde ich auch noch ergänzen, wenn neue rauskommen. Vielleicht hilft das ja dem einen oder anderen.

https://www.purrucker.de/2023/02/20/kritische-sicherheitsluecke-in-clamav-cve-2023-20032/

@heiseonline @doncow Zumindest die Jungs und Mädels bei der guten alten #mailcow haben schnell reagiert und haben gegen die #sicherheitslücke #CVE202320032 abgesicherte Pakete mit einer sicheren Version von #clamav bereit gestellt.

https://github.com/mailcow/mailcow-dockerized/releases/tag/2023-02a

Ach du liebes bisschen ... pünktlich zum Wochenende berichtet #heise über eine kritische #sicherheitslücke #CVE202320032 bei #calmav. Zudem empfehlen sie dringend zu patchen. Leider gibt es aber noch keine Patches von #debian oder für die #mailcow. Na toll. Wie soll ich da den entspannt ins Wochenende gehen @heiseonline ?
https://www.heise.de/news/Open-Source-Virenschutz-ClamAV-gegen-Schadcode-Attacke-geruestet-7518813.html

This one could be quite interesting: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-q8DThCy

TL;DR there’s a potential RCE in ClamAV when scanning due to a vulnerability in the HFS+ partition file parser

If you scan archives is it feasible that if someone sends a HFS+ formatted disk image / iso as an attachment, ClamAV might try and extract the files out of it for further scanning?

#cve #cve202320032 #clamav #infosec