ClamAV曝高危漏洞:远程投毒即可“打崩”杀毒引擎,Cisco紧急发布修复

admin 2026-07-03 05:14:24 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Cisco披露ClamAV存在多个高危漏洞,攻击者可通过构造恶意文件触发扫描服务崩溃,导致拒绝服务。漏洞影响Windows、Linux和macOS平台,Windows端风险最高。官方建议企业及时升级修复版本,无临时缓解方案。 综合评分: 83 文章分类: 漏洞预警,应急响应,漏洞分析,网络安全,终端安全


cover_image

ClamAV曝高危漏洞:远程投毒即可“打崩”杀毒引擎,Cisco紧急发布修复

看雪学苑 看雪学苑

看雪学苑

2026年7月2日 17:59 上海

在小说阅读器读本章

去阅读

近日,网络安全厂商 Cisco 发布安全公告(cisco-sa-clamav-88cFYyxR),披露其安全产品中使用的开源反病毒引擎 ClamAV 存在多项高危漏洞,可能被攻击者远程利用,引发扫描服务崩溃,从而造成拒绝服务(DoS)风险。

这些漏洞影响范围覆盖 Windows、Linux 与 macOS 等主流平台,其中 Windows 端风险最高,CVSS 评分达到 7.5(高危级别)。

一、漏洞核心:问题出在“文件解析器”

本次披露的漏洞并不依赖复杂入侵手段,攻击者只需构造恶意文件即可触发。

受影响的文件解析模块包括但不限于:

  • PE 可执行文件解析
  • 7z 压缩包解析
  • InstallShield 安装包
  • PESpin 加壳文件
  • ALZ 压缩格式
  • DMG 镜像文件
  • FSG 等多种文件结构解析逻辑

漏洞本质集中在几个经典安全问题上:

  • 内存越界读写
  • 边界检查缺失
  • 整数溢出(尤其在 32 位环境)
  • 资源管理错误

当 ClamAV 在扫描这些“特制文件”时,可能直接触发进程崩溃。

二、攻击方式很简单:一份“恶意文件”即可触发

攻击者无需认证权限,只需将恶意构造文件投递到目标环境即可,例如:

  • 邮件附件
  • Web 下载文件
  • 内部文件共享系统

一旦用户终端的安全软件开始扫描文件,漏洞即可能被触发,导致:

  • ClamAV 扫描进程崩溃
  • 扫描服务短时间不可用
  • 安全检测能力中断

在企业环境中,这意味着“防病毒窗口期”被强行打开。

三、不同平台影响差异明显

Cisco 在公告中对影响范围做了区分:

Windows(高危)

  • 权限较高的扫描进程可能被直接影响
  • 服务崩溃可能导致终端卡顿或无响应
  • 严重情况下需人工重启恢复
  • CVSS:7.5(High)

Linux / macOS(中危)

  • 多数情况下仅影响扫描服务
  • 操作系统本身稳定性影响较小
  • 但防护能力会暂时失效

四、真实风险:杀毒软件“先死一步”

安全行业长期存在一个典型风险:安全产品本身处理不可信输入。

ClamAV 作为邮件网关、终端防护、文件扫描的重要组件,一旦被打崩,会直接导致:

  • 新文件无法及时检测
  • 恶意样本“穿透”防护窗口
  • 企业安全策略出现短暂盲区

更关键的是,在部分历史案例中,类似漏洞甚至曾被进一步升级利用,实现远程代码执行(RCE)。

五、Cisco确认:无临时缓解方案,只能升级

Cisco 明确表示:

  • 暂无有效绕过或临时缓解措施
  • 唯一可靠方式是升级修复版本

受影响产品为:Cisco Secure Endpoint Connector(Windows / Linux / macOS)

虽然 Cisco 的 Secure Endpoint Private Cloud 本身不直接受影响,但其分发的客户端组件仍使用 ClamAV,因此仍需统一升级。

官方建议企业安全团队:

  • 及时更新 Secure Endpoint Connector
  • 对不同操作系统版本逐一核对修复版本
  • 检查相关 CVE 与 Bug ID
  • 确保终端资源充足,避免升级过程中服务异常

所有“解析不可信输入”的组件,都是高危攻击面

无论是压缩包、镜像文件还是可执行程序,一旦进入杀毒引擎解析链路,就可能成为漏洞触发点。对于企业而言,安全建设不能只依赖单点防护,而需要:

  • 多层检测体系
  • 沙箱隔离扫描
  • 最小权限运行安全组件
  • 及时更新安全引擎版本

资讯来源:

Cisco 官方安全公告:cisco-sa-clamav-88cFYyxR

ClamAV 项目主页:ClamAV Official Site

Cisco 安全产品信息:Cisco Official Site

球分享

球点赞

球在看


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:看雪学苑 看雪学苑 看雪学苑《ClamAV曝高危漏洞:远程投毒即可“打崩”杀毒引擎,Cisco紧急发布修复》

评论:0   参与:  0