Megjelent a ClamAV 1.5.3, egy biztonsági javítócsomag a Linuxon és Unix-szerű rendszereken széles körben használt nyílt forráskódú vírusirtó motorhoz. Főleg levelező átjárók vizsgálatára, fájlszerverek védelmére és automatizált kártevő-észlelésre használják.
A frissítés CVE-azonosítóval követett problémákat javít, amelyek azt érintik, hogyan kezeli a ClamAV a hibás vagy szándékosan manipulált fájlokat. Az egyik, a CVE-2026-20217, a PESpin kicsomagoló takarítási útvonalát érinti, ahol egy hiba felszabadíthatta a vizsgált fájl pufferére mutató pointereket, és összeomlaszthatta a vizsgálót.
Egy másik, PE-hez kapcsolódó javítás a CVE-2026-20213-at érinti, ami egész szám túlcsordulás a PE újjáépítési méret számításánál. Ezt egy hibás, Aspack-kal csomagolt PE fájl válthatta ki, és verem feletti puffer túlcsorduláshoz vezethetett. A ClamAV 1.5.3 emellett javítja a CVE-2026-20214-et is, egy FSG kicsomagoló ciklus alulcsordulást, ami hibás PE fájl vizsgálatakor a szekciótömb határain túli írást okozhatott.
A tömörített állományok vizsgálata is kapott biztonsági javításokat. A CVE-2026-20216 egy InstallShield archívum kicsomagolási limit megkerülését szünteti meg, ami miatt a ClamAV a tervezettnél több ideiglenes adatot írhatott, és ezzel akár kimeríthette a tárhelyet. Emellett a kiadás kezeli a CVE-2026-20243-at is, az ALZ parser méretkezelési hibáit, amelyek hibás ALZ archívumoknál pánikot, a vizsgáló leállását vagy a vizsgálati limitek ellenőrzésének kihagyását okozhatták.
Egy másik, archívumokhoz kapcsolódó sebezhetőség, a CVE-2026-20215, a 7z parserhez kötődik. A hiba egy alfolyam-számláló túlcsordulásából adódott, ami alulméretezett metaadat-tömbökhöz és határon túli íráshoz vezethetett hibás archívum olvasásakor.
Az utolsó felsorolt CVE a CVE-2026-20244, amely csak a 32 bites ClamAV buildeket érinti. A DMG parser méretellenőrzéseit javítja, amelyek miatt egy hibás mish stripe tábla átcsúszhatott az ellenőrzésen, és összeomlaszthatta a 32 bites vizsgálókat. A 64 bites buildek nem érintettek.
A CVE-javításokon túl a ClamAV 1.5.3 megerősíti a karanténműveleteket a clamscan, clamdscan és clamonacc eszközökben a time-of-check/time-of-use versenyhelyzetek ellen. Nem biztonságos karanténkönyvtár-beállításoknál ilyen versenyhelyzetek átirányíthatták a másolt, áthelyezett vagy törölt fájlokat.
Ezen felül a ClamAV 1.5.3 módosítja a metaadat-előosztályozó vizsgálatok kezelését, így ezek a végső döntés előtt futnak le. A ClamOnAcc két javítást kapott: az egyik a hibákra vonatkozik, amikor rekurzívan kizárt útvonalak egy bevont útvonal gyermekei, a másik pedig a hash vödörlista sérülését szünteti meg, amikor két figyelt útvonal ugyanabba a vödörbe kerül.
Végül, akik még a régebbi 1.4-es ágon maradtak, vegyék figyelembe, hogy megjelent a ClamAV 1.4.5 is, ugyanazokkal a biztonsági javításokkal.
További részletekért nézd meg a bejelentést. A kiadás fájljai elérhetők a ClamAV letöltési oldalán, a GitHub releases között és a Docker Hubon, Alpine- és Debian-alapú container image-ekkel együtt.

