Bug 10049

Summary: [UPDATE REQUEST 2016.1] clamav 0.101.3 (CVE-2019-1010305)
Product: [ROSA-based products] ROSA Fresh Reporter: Алзим <alzim>
Component: Packages from MainAssignee: ROSA Linux Bugs <bugs>
Status: VERIFIED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: normal    
Priority: Normal CC: pastordidi, v.potapov
Version: AllFlags: v.potapov: qa_verified+
alzim: published+
Target Milestone: ---   
Hardware: All   
OS: Linux   
Whiteboard:
Platform: 2016.1 ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description Алзим 2019-08-07 20:29:54 MSK 
Компания Cisco представила корректирующий выпуск свободного антивирусного пакета ClamAV 0.101.3, в котором устранена уязвимость, позволяющая инициировать отказ в обслуживании через передачу во вложении специально оформленного zip-архива.

Проблема является вариантом нерекурсивной "zip-бомбы", распаковка которой требует очень большого времени и ресурсов. Суть метода в размещении в архиве данных, позволяющих добиться максимальной для формата zip степени сжатия - около 28 млн раз. Например, специально подготовленный zip-файл размером 10 Мб приведёт к распаковке около 281 Тб данных, а 46 Мб - 4.5 Пб.

Кроме того в новом выпуске обновлена встроенная библиотека libmspack, в которой устранено переполнение буфера (CVE-2019-1010305), приводящее к утечке данных при открытии специально оформленного chm-файла.
Comment 1 Алзим 2019-08-07 20:30:52 MSK 
clamav 0.101.3-1
https://abf.io/build_lists/3084526
https://abf.io/build_lists/3084527
Comment 2 Dmitry Postnikov 2019-08-09 11:29:51 MSK 
**********************************************
The update is sent to expanded testing
Comment 3 Vladimir Potapov 2019-08-12 10:43:20 MSK 
clamav-0.101.3-1
https://abf.io/build_lists/3084526
https://abf.io/build_lists/3084527
**************************** Advisory ********************************
Fix CVE-2019-1010305 and zip-bomb.
**********************************************************************
QA Verified