Plusieurs vulnérabilités à distance ont été découvertes dans la boîte à outils antivirus Clam. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
On a découvert qu'on pouvait tromper l'analyseur OLE2 et le conduire vers une boucle sans fin et un épuisement de la mémoire.
On a découvert que le code de décompression NsPack ne réalisait pas de nettoyage suffisant sur une variable de longueur interne, il est possible de cela permette un débordement de mémoire tampon.
On a découvert que des fichiers temporaires étaient créés avec des permissions non sûres, cela entraîne la divulgation d'informations.
On a découvert que le code de décompression pour les archives RAR permettait d'outrepasser une analyse d'une archive RAR à cause de vérifications insuffisante de validité.
On a découvert que le code de décompression pour les archives RAR ne réalisait pas de validation suffisante des valeurs d'en-tête, cela engendre un débordement de mémoire tampon.
Pour l'ancienne distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.84-2.sarge.17. Veuillez noter que le correctif de CVE-2007-3024 n'a pas été rétroporté vers l'ancienne distribution stable.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.90.1-3etch1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.90.2-1.
Nous vous recommandons de mettre à jour vos paquets clamav. La mise à jour pour l'architecture powerpc dans l'ancienne distribution stable n'est pas encore disponible. Elle sera fournie plus tard.
Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.