54849 2025-06-19 12:37:05 +0300 Update clamav for CVE-2025-20260 & CVE-2025-20234 2025-11-07 02:21:12 +0300 1 1 1 Unclassified Branch p10 clamav не указана x86_64 Linux CLOSED FIXED P5 critical --- 54856 1 ksenobayt asy amakeenk qa-p10 oldest_to_newest 267446 0 ksenobayt 2025-06-19 12:37:05 +0300 Добрый день. Прошу обновить clamav или бэкпортировать изменения в связи с: https://www.cve.org/CVERecord?id=CVE-2025-20260 (9.8, buffer overflow RCE) https://www.cve.org/CVERecord?id=CVE-2025-20234 (5.3 medium, DoS) 267448 1 asy 2025-06-19 13:07:52 +0300 (Ответ для ksenobayt на комментарий #0) > Добрый день. Прошу обновить clamav или бэкпортировать изменения в связи с: > > https://www.cve.org/CVERecord?id=CVE-2025-20260 (9.8, buffer overflow RCE) У нас 0.103.12, а в списке от 1.2. В 0.103 этот код вообще есть ли? > https://www.cve.org/CVERecord?id=CVE-2025-20234 (5.3 medium, DoS) Тут по версиям вообще непонятно, о чём речь. У ClamAV такие версий не знаю. Обновить, конечно, надо бы, но там система сборки поменялась как минимум. Предполагаю, что весь spec переписывать. Пока даже смотреть боюсь. :-) 267449 2 ksenobayt 2025-06-19 13:13:35 +0300 (In reply to Sergey Y. Afonin from comment #1) > (Ответ для ksenobayt на комментарий #0) > > > Добрый день. Прошу обновить clamav или бэкпортировать изменения в связи с: > > > > https://www.cve.org/CVERecord?id=CVE-2025-20260 (9.8, buffer overflow RCE) > > У нас 0.103.12, а в списке от 1.2. В 0.103 этот код вообще есть ли? Дебиановцы, по крайней мере, помечают 0.103 как уязвимую: https://security-tracker.debian.org/tracker/CVE-2025-20260. С другой стороны, 0.103 уже EOL с прошлого сентября, и Cisco предлагает перекатиться на 1.0.6: https://blog.clamav.net/2024/08/clamav-0103-lts-end-of-life-announcement.html > Обновить, конечно, надо бы, но там система сборки поменялась как минимум. > Предполагаю, что весь spec переписывать. Пока даже смотреть боюсь. :-) Не спорю, но как я понимаю, p10 вроде бы ещё поддерживается до 31.12.25 - было бы здорово всё-таки получить эти фиксы. 267450 3 ksenobayt 2025-06-19 13:19:44 +0300 В 0.103 этот код точно есть: https://github.com/Cisco-Talos/clamav/blob/rel/0.103/libclamav/pdf.c https://github.com/Cisco-Talos/clamav/blob/rel/0.103/libclamav/pdfdecode.c + хедер-файлы Насколько я вижу, пофиксили в 1.4.3 таким образом: https://github.com/Cisco-Talos/clamav/commit/bca003b02897896b10c48d28c191813e96476444#diff-35350c7d0782e5ad7822ba230971e59e9cc9c7f8ef22950d64b3d3d6242ab500R404-L881 276068 4 asy 2025-11-05 00:53:37 +0300 https://packages.altlinux.org/tasks/399179 2025-Nov-04 21:39:48 :: test-only task #399179 for p10 resumed by asy: 2025-Nov-04 21:39:48 :: message: new_clamav_version_Bug_54849 #100 build 1.4.3-alt3 from /gears/c/clamav.git fetched at 2025-Nov-04 18:52:36 from sisyphus #300 build 0.5.4-alt1 from /gears/c/c-icap-modules.git fetched at 2025-Nov-04 19:24:11 from p10 #400 delete havp Установка: apt-repo add 399179 apt-get update apt-get install clamav В задании удаляется пакет havp (не собирается, надо патчить), это http proxy, с которым можно использовать ClamAV. При этом через c-icap может работать Squid, так что возможность пронать http трафик через ClamAV остаётся. Не знаю пока, пройдёт ли в таком виде в репозиторий. 276242 5 asy 2025-11-07 02:21:12 +0300 В репозиторий ушло другое задание, но такое же: 2025-Nov-06 09:01:29 :: task #398638 for p10 resumed by amakeenk: 2025-Nov-06 09:01:29 :: message: New version clamav fix CVE-2025-20260 and delete unsupported havp #40 removed #60 build 1.4.3-alt3 from /people/taf/packages/clamav.git fetched at 2025-Oct-31 09:50:49 #100 removed #200 build 0.5.4-alt1 from /gears/c/c-icap-modules.git fetched at 2025-Oct-29 12:15:56 from p10 #300 removed #400 delete havp ... 2025-Nov-06 09:11:34 :: task #398638 for p10 DONE