「ClamAV 1.5.3/1.4.5」リリース ─ オープンソースのアンチウィルスエンジン

細工されたPEや7z、ALZファイルによるクラッシュやバッファオーバーフローに対応

7月4日 23:43

 ClamAV Projectは7月1日(現地時間)、アンチウイルスソフトウェア「ClamAV 1.5.3」および「ClamAV 1.4.5」をリリースした。

 「ClamAV」は、マルウェアや不正なファイルを検出するオープンソースのアンチウイルスエンジン。コマンドラインスキャナ、常駐型デーモン、メールサーバ連携、オンアクセススキャンなどの機能を持つ。

 「ClamAV 1.5.3」は現行の1.5系列、「ClamAV 1.4.5」は長期サポートが提供される1.4 LTS系列のセキュリティパッチリリース。ファイルおよびアーカイブの解析処理に関する脆弱性の修正、および隔離処理やオンアクセススキャンなどの問題が修正されている。

 「ClamAV 1.5.3/1.4.5」のハイライトは次の通り。
〇PESpin展開処理でスキャナがクラッシュする問題を修正(CVE-2026-20217)
〇Aspackで圧縮されたPEファイルの再構築時にヒープバッファオーバーフローが発生する問題を修正(CVE-2026-20213)
〇InstallShieldアーカイブの展開制限を回避し、一時ストレージを枯渇させられる問題を修正(CVE-2026-20216)
〇FSG展開処理でセクション配列の範囲外へ書き込む問題を修正(CVE-2026-20214)
〇不正なALZアーカイブによってスキャナの異常終了やスキャン制限の処理不良が発生する問題を修正(CVE-2026-20243)
〇7zアーカイブの解析時に配列の範囲外へ書き込む問題を修正(CVE-2026-20215)
〇32ビット環境で不正なDMGファイルによりスキャナがクラッシュする問題を修正(CVE-2026-20244)
〇ファイル隔離処理におけるTOCTOU競合への対策を強化
〇ClamOnAccの除外パスおよび監視パス管理に関する不具合を修正
など。

 「ClamAV 1.5.3」では、Rust製tarライブラリを更新してRUSTSEC-2026-0067およびRUSTSEC-2026-0068へ対応したほか、Rust版OpenSSLライブラリを更新してCVE-2026-41676を修正した。メタデータの事前分類スキャンの実行順序や、ClamOnAccの監視パス管理も改善されている。

 「ClamAV 1.5.3/1.4.5」は、Webサイトから入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス
ClamAV GitHub Releases

人気記事トップ10

人気記事ランキングをもっと見る

企画広告も役立つ情報バッチリ! Sponsored