ClamAV 1.5.3 et 1.4.5 corrigent sept CVE, CERT-FR publie AVI-0824
ClamAV publie le 1er juillet les versions 1.5.3 et 1.4.5, sept CVE dans les parseurs PE, exFAT, ALZ, 7z et DMG. CERT-FR répercute dans AVI-0824. Aucun contournement selon Cisco.
Le CERT-FR a publié le 2 juillet 2026 l'avis CERTFR-2026-AVI-0824 sur ClamAV, qui répercute les releases de sécurité 1.5.3 et 1.4.5 publiées par le projet Cisco Talos le 1er juillet. Sept CVE dans les parseurs de fichiers packés et d'archives sont corrigées ; les versions affectées sont 1.5.x antérieures à 1.5.3 et toutes les 1.4.x jusqu'à 1.4.4 incluse. L'avis Cisco cisco-sa-clamav-88cFYyxR précise qu'aucun contournement n'existe ; le patch est la seule voie durable.
Le commit de release ClamAV 1.5.3 sur GitHub est b970812.
Les sept CVE
D'après les notes de version publiées sur le blog ClamAV :
- CVE-2026-20213 — Integer overflow dans le calcul de reconstruction PE (Aspack) menant à un heap buffer overflow write. Régression présente depuis 2007. Rapporté par Trail of Bits en collaboration avec Anthropic.
- CVE-2026-20214 — FSG unpacker : loop underflow qui écrit au-delà du tableau de sections en scannant un PE malformé. Présent dans la base depuis 2004.
- CVE-2026-20215 — 7z parser : dépassement du compteur de sous-flux qui sous-alloue les tableaux de métadonnées, puis écrit hors bornes en lisant une archive malformée.
- CVE-2026-20216 — InstallShield : contournement de la limite d'extraction, écriture d'un volume de données temporaires largement supérieur à la limite configurée. Épuisement du stockage temporaire — DoS sur les passerelles multi-tenant.
- CVE-2026-20217 — PESpin unpacker : le chemin de nettoyage libère des pointeurs qui pointent à l'intérieur du buffer du fichier scanné. Crash du moteur — DoS scanner exploitable via un simple binaire packé.
- CVE-2026-20243 — ALZ parser : mauvaise gestion des tailles, abort du scanner ou contournement des limites de scan sur une archive ALZ malformée.
- CVE-2026-20244 — DMG parser 32 bits : validation trop laxiste des tailles ; un mish stripe table court passe la vérification et fait crasher les builds 32 bits du scanner. N'affecte pas les builds 64 bits.
Chercheurs crédités par les release notes GitHub : Atuin (moteur automatisé) et Tianchu Chen (Tencent Xuanwu Lab), Trail of Bits en collaboration avec Anthropic, Mizu, Yazdan Soltani, Stanley John Tobias, Hiroki Imai (Ricerca Security).
Statut d'exploitation
Aucun PoC public référencé au moment de la publication. Aucune exploitation en conditions réelles rapportée par Cisco, le CERT-FR ou les CERT sectoriels. Aucune de ces CVE n'est ajoutée au catalogue CISA KEV. Le vecteur dominant est le crash du scanner sur un fichier hostile — un attaquant qui contrôle un fichier scanné (mail entrant, upload web, media pass-through sur passerelle) obtient au minimum un DoS ciblé sur le moteur d'analyse. La chaîne PE-Aspack (CVE-2026-20213) est la plus intéressante côté offense : heap overflow write dans un chemin routinement exercé par les passerelles anti-malware. Le fait qu'elle remonte à 2007 signifie que toutes les versions déployées en production — y compris les builds frozen sur des vieux appliances — sont vulnérables.
Que faire
- Mettre à jour vers ClamAV 1.5.3 (branche courante) ou 1.4.5 (branche LTS de facto), selon la référence pinnée en production. Sur Debian/Ubuntu,
apt list --upgradable clamavet vérifier la version cible viaclamscan --version. Sur les distributions qui rétrogradent le paquet dans un canal security, forcer le pull immédiat plutôt que d'attendre le cycle hebdomadaire. - Cisco Secure Endpoint Connector — Cisco livre des mises à jour du connecteur via le portail Secure Endpoint, pour Windows, Linux et macOS. À croiser avec les cycles de mise à jour normale du contenu et du logiciel — ne pas différer.
- Passerelles mail et filtres upload web qui invoquent ClamAV via
clamdscanou l'APIclamd: ce sont les cibles primaires. Un attaquant qui envoie une pièce jointe PESpin ou Aspack peut soit crasherclamd(perte de détection sur le flux suivant), soit — sur la chaîne CVE-2026-20213 — tenter une écriture heap. Redémarrer le service après montée de version et vérifierclamscan --versionrenvoie ≥ 1.5.3 / 1.4.5. - Alerter sur les crashes
clamdrépétés dans les logs applicatifs des sept derniers jours ; un attaquant qui teste ces primitives laisse des traces (clamd[NNNN]: SIGSEGV, redémarrages en boucle du service). Sur les MTA sous ClamAV, corréler avec les IDs de message et les expéditeurs. - Auditer les builds 32 bits — CVE-2026-20244 ne touche que les scanners 32 bits, mais ils survivent sur des appliances embarquées, des scanners de courrier historiques et quelques images Docker slim.
file $(which clamscan)pour vérifier.
Contexte
C'est le deuxième cycle de patch de sécurité de la branche 1.5.x cette année — après 1.5.2 / 1.4.4 en mars 2026. La régularité tient à la nature du produit : ClamAV reste le seul moteur libre de son classement, et son surface d'attaque est à peu près exactement la surface des formats packés et compressés du monde Windows historique. Chaque parseur — Aspack, PESpin, FSG, InstallShield, ALZ, 7z, DMG — est un vecteur potentiel, et chaque parseur a été écrit à une époque où les safe integer et les canary buffers n'étaient pas la norme.
L'apparition de Trail of Bits / Anthropic dans les crédits sur CVE-2026-20213 est un signal à noter : les campagnes de fuzz-review assistées par LLM sur du code C historique commencent à produire des CVE réelles, avec des taux de reproduction suffisamment sérieux pour que l'éditeur accepte le rapport. Attendre la même dynamique sur le reste du parc legacy antivirus.
Côté conformité, l'avis CERT-FR AVI-0824 est la référence à joindre au ticket de patching pour les opérateurs en périmètre NIS2 ou hébergeurs de santé (HDS) qui embarquent ClamAV dans leur chaîne de scan.