Vulnerabilidad en la funcionalidad de escaneo del PDF de ClamAV (CVE-2019-1787)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
08/04/2019
Última modificación:
01/03/2023
Descripción
Una vulnerabilidad en la funcionalidad de escaneo del PDF (Portable Document Format) en las versiones de software 0.101.1 y anteriores de Clam AntiVirus (ClamAV), podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad se debe a la falta de mecanismos adecuados para el manejo de datos dentro del búfer del dispositivo, mientras se indexan los datos de archivo restantes en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad enviando archivos PDF creados a un dispositivo afectado. Una explotación exitosa podría permitir al atacante causar una condición de lectura de búfer fuera de límites, resultando en un cierre inesperado que podría causar una condición de denegación de servicio en un dispositivo afectado.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:clamav:clamav:*:*:*:*:*:*:*:* | 0.101.1 (incluyendo) | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:42.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00062.html
- http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00064.html
- https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=12181
- https://lists.debian.org/debian-lts-announce/2019/04/msg00019.html
- https://security.gentoo.org/glsa/201904-12