ClamAV の脆弱性 CVE-2025-20260／20234 が FIX：DoS と RCE への対応

ClamAV 1.4.3 and 1.0.9 Released with Fixes for Critical Remote Code Execution Vulnerability

2025/06/19 gbhackers — ClamAV 開発チームが公表したのは、システムの整合性を損なう可能性のある深刻な脆弱性を解決するための、２つの重要なセキュリティ・パッチリリース (Ver 1.4.3／1.0.9) のリリースである。さらに、1.4 LTS リリース向けに、Linux aarch64 (ARM64) RPM／ インストーラー・パッケージを導入し、ARM ベースのアーキテクチャにおける互換性が高められている。

ClamAV ダウンロード・ページ／GitHub リリース・ページ／Docker Hub から、このリリース・ファイルにアクセスできるようになっている。ただし、Docker Hub での提供開始は、リリースの当日よりも、少しだけ遅れる可能性があるという。

深刻なセキュリティ欠陥への対応

このアップデートの主目的は、PDF ファイル・パーサーにおける深刻なバッファ・オーバーフロー書込の脆弱性 CVE-2025-20260 への対応にある。

この脆弱性の悪用により、サービス拒否 (DoS) 状態や、リモート・コード実行の可能性が生じるという。また、攻撃の前提としては、ファイル・スキャンの最大サイズ制限が 1024MB以上に設定され、かつ、スキャンの最大サイズ制限が最低で 1025MBに設定されたコンフィグレーションとなる。

根本的なコードの問題は、バージョン 1.0.0より前に発生していたが、そのバージョンの変更により、信頼できないデータに基づく、より大きな割り当てが可能となり、リスクも増大している。

この脆弱性が影響を及ぼす範囲は、現時点でサポート対象となっている、すべての ClamAV バージョンとなる。ただし、最新のパッチ・バージョン 1.4.3／1.0.9 リリースされ、包括的な修正が提供されていると、このレポートは説明している。

この深刻な脆弱性を発見したのは、さまざまなシステム保護に貢献してきた、サンディア国立研究所の Greg Walkup である。

悪用可能なバグに対する重要な修正

それに加えて、バージョン 1.4.3 では、UDF ファイル・パーサーのバッファ・オーバーフロー読取の脆弱性 CVE-2025-20234 も対処されている。

この脆弱性は、バージョン 1.2.0で混入したものであり、テンポラリ・ファイルへの書込みによる、情報漏洩につながり、また、クラッシュからの DoS 状態にいたる可能性がある。

この問題は、Trend Micro – Zero Day Initiative と共同で、Volticks (@movx64 on Twitter/X) が発見したものであり、コミュニティ主導のセキュリティ対策の重要性を示している。

このリリースでは、バンドルされている lzma-sdk ライブラリの Xz 解凍モジュールに存在する、解放後メモリ使用後 (use-after-free) の脆弱性も対処されている。このバグは、バージョン 0.99.4 まで遡って影響するものである。

この修正は、lzma-sdk のバージョン 18.03 をベースにしたものだが、ClamAV が実施した内容は、ライブラリ全体のアップグレードではなく、カスタマイズされたパフォーマンスの最適化と、選択的なバグへの修正であり、セキュリティと安定性を確保している。

この脆弱性は OSS-Fuzz により明らかにされ、隠れた欠陥を発見する上での、自動ファジングの評価を高める結果となった。

これらの重要なセキュリティ・パッチに加えて、これらのバージョンでは、libcrypto などのライブラリが、Windows ネイティブのコンポーネントと同一の名前を共有することで生じる、DLL 依存関係の競合の問題も解決されている。この修正により、インストール時に発生する可能性のある障害を、Windows ユーザーはスムーズに排除できる。

多様なプラットフォームのユーザーに対して、堅牢なセキュリティを提供するという ClamAV コミットメントを、これらのアップデートは強調している。また、このプロジェクトは、1.4 LTS リリースで ARM64 サポートを追加したことで、サポートの範囲は継続して広がっている。

すべてのユーザーに対して強く推奨されるのは、バージョン 1.4.3／1.0.9 へと速やかにアップデートし、これらの欠陥に関連するリスクを軽減することだ。

今回のリリースでは、PDF や UDF 解析の深刻なバッファオーバーフローが解消されました。業務環境で ClamAV を使うなら、早期のバージョンアップが不可欠です。よろしければ、ClamAV で検索も、ご利用ください。