Cập Nhật ClamAV 1.4.3 và 1.0.9: Vá Lỗ Hổng Bảo Mật Nghiêm Trọng

19/06/2025
2 mins read
Nội dung
Cập Nhật Bảo Mật ClamAV 1.4.3 và 1.0.9: Vá Các Lỗ Hổng Nghiêm Trọng
Chi Tiết Các Lỗ Hổng CVE
Phân Tích Kỹ Thuật
Khai Thác (Exploit)
Biện Pháp Khắc Phục
Tính Năng và Cập Nhật Bổ Sung
Tóm Tắt cho SOC, TIP, SIEM và Quản Trị Hệ Thống
Tóm Tắt Lỗ Hổng
Lệnh Cấu Hình và Cập Nhật
Hành Động Cần Thiết

Cập Nhật Bảo Mật ClamAV 1.4.3 và 1.0.9: Vá Các Lỗ Hổng Nghiêm Trọng

Nhóm phát triển ClamAV đã phát hành hai bản vá bảo mật quan trọng, phiên bản 1.4.3 và 1.0.9, nhằm khắc phục các lỗ hổng nghiêm trọng có thể ảnh hưởng đến tính toàn vẹn của hệ thống. Bài viết này cung cấp thông tin chi tiết về các lỗ hổng, tác động, cách khai thác, và biện pháp khắc phục cho các chuyên viên bảo mật, quản trị hệ thống, và những người làm việc trong SOC.

Chi Tiết Các Lỗ Hổng CVE

  • CVE-2025-20260: Lỗ hổng tràn bộ đệm (buffer overflow write) nghiêm trọng trong trình phân tích tệp PDF. Lỗ hổng này có khả năng gây ra tình trạng từ chối dịch vụ (DoS) hoặc cho phép thực thi mã từ xa (remote code execution).
    • Cấu hình bị ảnh hưởng:
      • Giới hạn quét max file-size scan limit được đặt lớn hơn hoặc bằng 1024MB.
      • Giới hạn quét max scan-size scan limit được đặt lớn hơn hoặc bằng 1025MB.
    • Lịch sử lỗ hổng: Vấn đề trong mã nguồn xuất hiện trước phiên bản 1.0.0, nhưng một thay đổi trong phiên bản này đã làm tăng nguy cơ bằng cách cho phép cấp phát bộ nhớ lớn hơn dựa trên dữ liệu không đáng tin cậy.
  • CVE-2025-20234: Lỗ hổng tràn bộ đệm (buffer overflow read) trong trình phân tích tệp UDF.

Phân Tích Kỹ Thuật

  • Lỗ hổng trong trình phân tích tệp PDF (CVE-2025-20260): Lỗ hổng này cho phép kẻ tấn công có khả năng gây ra tình trạng DoS hoặc thực thi mã tùy ý bằng cách thao túng trình phân tích tệp PDF.
  • Lỗi trong mô-đun giải nén Xz: Một lỗi use-after-free có thể xảy ra trong mô-đun giải nén Xz của thư viện lzma-sdk được tích hợp. Lỗi này ảnh hưởng đến tất cả các phiên bản ClamAV kể từ ít nhất phiên bản 0.99.4 và đã được khắc phục trong các bản 1.4.3 và 1.0.9.

Khai Thác (Exploit)

Lỗ hổng trình phân tích tệp PDF (CVE-2025-20260): Kẻ tấn công có thể khai thác lỗ hổng này để thực thi mã tùy ý hoặc gây ra tình trạng DoS trong các cấu hình có giới hạn quét được đặt như đã nêu ở trên.

Biện Pháp Khắc Phục

  • Khắc phục CVE-2025-20260: Bản vá trong các phiên bản 1.4.3 và 1.0.9 đã sửa lỗi tràn bộ đệm trong trình phân tích tệp PDF một cách toàn diện.
  • Khắc phục lỗi mô-đun giải nén Xz: Lỗi đã được sửa trong phiên bản lzma-sdk 18.03, đi kèm với các bản cập nhật của ClamAV, nhằm cải thiện hiệu suất và sửa lỗi.

Tính Năng và Cập Nhật Bổ Sung

Bản phát hành này bao gồm các gói cài đặt RPM và DEB cho kiến trúc Linux aarch64 (ARM64) đối với phiên bản 1.4 LTS, mở rộng khả năng tương thích cho người dùng trên các nền tảng dựa trên ARM.

Tóm Tắt cho SOC, TIP, SIEM và Quản Trị Hệ Thống

Tóm Tắt Lỗ Hổng

  • CVE-2025-20260: Lỗ hổng tràn bộ đệm (write) trong trình phân tích tệp PDF.
    • Cấu hình bị ảnh hưởng: max file-size scan limit >= 1024MB và max scan-size scan limit >= 1025MB.
    • Rủi ro khai thác: Gây ra tình trạng DoS hoặc thực thi mã từ xa.
    • Khắc phục: Đã được sửa trong ClamAV 1.4.3 và 1.0.9.
  • CVE-2025-20234: Lỗ hổng tràn bộ đệm (read) trong trình phân tích tệp UDF.
    • Khắc phục: Đã được sửa trong ClamAV 1.4.3.
  • Lỗi mô-đun giải nén Xz: Lỗi use-after-free trong mô-đun giải nén Xz.
    • Phiên bản bị ảnh hưởng: Tất cả các phiên bản ClamAV kể từ ít nhất 0.99.4.
    • Khắc phục: Đã được sửa trong lzma-sdk phiên bản 18.03, tích hợp trong ClamAV.

Lệnh Cấu Hình và Cập Nhật

Để giải quyết các lỗ hổng trên, hãy đảm bảo cập nhật lên phiên bản ClamAV 1.4.3 hoặc 1.0.9. Bạn có thể sử dụng các lệnh cập nhật phù hợp với hệ điều hành của mình (ví dụ: apt update && apt upgrade clamav trên các hệ thống dựa trên Debian hoặc tương tự trên các hệ thống khác).

Hành Động Cần Thiết

Cập nhật ClamAV: Thực hiện lệnh cập nhật để áp dụng các bản vá bảo mật. Đảm bảo kiểm tra và triển khai bản cập nhật trên toàn bộ hệ thống bị ảnh hưởng càng sớm càng tốt.