この記事は会員限定です。会員登録すると全てご覧いただけます。
Cisco Systemsは2023年2月15日(現地時間)、同社のブログでオープンソースソフトウェア(OSS)のアンチウイルスエンジン「ClamAV」に複数の脆弱(ぜいじゃく)性が存在すると伝えた。
脆弱性のうち1つは深刻度「緊急」(Critical)に分類されており注意が必要だ。ClamAVを利用しているCisco製品についても同様にキュリティアップデートが提供されている。
Cisco SystemsはClamAVに複数の脆弱性が存在すると伝えた(出典:Cisco SystemsのWebサイト)
Cisco Systemsが報告した脆弱性は以下の通りだ。
- CVE-2023-20032:HFS+ファイルパーサに存在するリモートからコードが実行可能な脆弱性。共通脆弱性評価システム(CVSS)スコア値は9.8で深刻度「緊急」に分類される
- CVE-2023-20052:DMGファイルパーサに存在するリモートから情報窃取が可能な脆弱性
脆弱性を修正したバージョンは以下の通りだ。
- ClamAV 1.0.1
- ClamAV 0.105.2
- ClamAV 0.103.8
なお、ClamAV 0.104系はすでにサポート終了(EOL)していることから、修正版はリリースしない見込みだ。ClamAV 0.104系を使っている場合は、サポートが提供されている他のバージョンに移行するよう求められている。
ClamAVを利用しているCisco Systems製品のうち、セキュリティアップデートが提供されているものは以下の通りだ。
- Secure Endpoint for Linux(旧名: Advanced Malware Protection(AMP) for Endpoints)
- Secure Endpoint for MacOS(旧名: Advanced Malware Protection(AMP) for Endpoints)
- Secure Endpoint for Windows(旧名: Advanced Malware Protection(AMP) for Endpoints)
- Secure Endpoint Private Cloud
- Secure Web Appliance(旧名: Web Security Appliance)
上記製品の修正バージョンは以下の通りだ。
- Secure Endpoint for Linux 1.20.2
- Secure Endpoint for MacOS 1.21.1
- Secure Endpoint for Windows 7.5.9
- Secure Endpoint for Windows 8.1.5
- Secure Endpoint Private Cloud 3.6.0およびこれ以降のバージョン
- Secure Web Appliance 12.5.6(May 2023)
- Secure Web Appliance 14.0.4-005
- Secure Web Appliance 14.5.1-013(Mar 2023)
- Secure Web Appliance 15.0.0-254
該当製品を使用している場合は迅速にアップデートを適用してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.