思科披露了多个 ClamAV 漏洞,这些漏洞可能允许未经身份验证的远程攻击者破坏防病毒扫描并导致受影响的系统出现拒绝服务情况。
这些缺陷已发布在思科 ClamAV 安全咨询2026 年 7 月 1 日。它们通过易受攻击的 ClamAV 组件影响 Windows、Linux 和 Mac 的思科安全端点连接器部署。
思科将 Windows 连接器的影响评为“高”,CVSS 得分为 7.5。 Linux 和 Mac 连接器获得中等评级,CVSS 得分为 5.3。
这些漏洞影响 ClamAV 对特制文件的处理。攻击者可以通过电子邮件、Web 下载、共享文件夹或导致 ClamAV 扫描的其他传送路径发送格式错误的文件。
当存在漏洞的引擎解析文件时,扫描过程可能会终止或消耗资源。这可能会中断恶意软件检测,并使受影响的端点受到的保护减少,直到服务或系统恢复为止。
思科表示,在 Windows 上,成功利用该漏洞可能会使端点无响应,并需要手动干预,例如重新启动。在 Linux 和 Mac 上,更可能的影响是扫描中断,而不是整个系统不稳定。
| 产品 | 影响等级 | CVSS评分 | 第一个固定版本 |
|---|---|---|---|
| 适用于 Windows 的思科安全端点连接器 | 高的 | 7.5 | 8.6.2 |
| 适用于 Linux 的思科安全端点连接器 | 中等的 | 5.3 | 1.29.0 |
| 适用于 Mac 的思科安全端点连接器 | 中等的 | 5.3 | 1.27.2 |
| 思科安全端点私有云 | 不易受到攻击 | 0.0 | 4.2.8 及更高版本 |
七个 CVE 影响 ClamAV 文件解析器
该通报涵盖了七个漏洞,编号为 CVE-2026-20213、CVE-2026-20214、CVE-2026-20215、CVE-2026-20216、CVE-2026-20217、CVE-2026-20243 和 CVE-2026-20244。
这些问题会影响 PE、FSG、7z、InstallShield、PESpin、ALZ 和 DMG 等文件格式的解析器和解包代码。这ClamAV 文档将该引擎描述为跨平台防病毒工具包,支持多种文件格式、存档、可执行文件和签名类型。
这种广泛的文件支持对于恶意软件检测很有用,但这也意味着 ClamAV 必须安全地检查大量不受信任的内容。该层中的解析器错误可能会影响安全工具本身的可靠性。
- CVE-2026-20213 影响 PE 解析和 Aspack 打包的 PE 文件。
- CVE-2026-20214 影响 FSG 解包程序。
- CVE-2026-20215 影响 7z 存档解析。
- CVE-2026-20216 影响 InstallShield 存档处理。
- CVE-2026-20217 影响 PESpin 解包。
- CVE-2026-20243 影响 ALZ 存档处理。
- CVE-2026-20244 影响 32 位版本上的 DMG 解析。
ClamAV 1.5.3 和 1.4.5 包含上游修复
Cisco Talos 还发布了固定的上游 ClamAV 版本。这ClamAV 发行说明将 ClamAV 1.5.3 和 1.4.5 列为修复 2026 年 7 月漏洞的补丁版本。
有几个问题会影响很多年前的旧版本。例如,FSG 解包程序问题影响早至 2004 年的版本,而 PESpin 问题影响早至 2005 年的版本。
DMG漏洞的范围较窄。它影响从 0.98.1 到 1.5.2 的 32 位 ClamAV 版本,包括支持的 1.4.x 和 1.5.x 版本,但不影响 64 位版本。
| CVE | 受影响的组件 | 潜在结果 |
|---|---|---|
| CVE-2026-20213 | PE解析器 | 来自格式错误的 Aspack 打包 PE 内容的堆缓冲区溢出写入 |
| CVE-2026-20214 | FSG 解包器 | 扫描格式错误的 PE 文件时越界写入 |
| CVE-2026-20215 | 7z 解析器 | 从格式错误的存档元数据进行越界写入 |
| CVE-2026-20216 | InstallShield解析器 | 存档提取期间临时存储耗尽 |
| CVE-2026-20217 | PESpin 解包器 | 清理期间扫描仪崩溃 |
| CVE-2026-20243 | ALZ解析器 | 扫描仪中止或扫描限制处理失败 |
| CVE-2026-20244 | 32 位版本上的 DMG 解析器 | 扫描仪因 DMG 内容格式错误而崩溃 |
为什么 Windows 连接器面临更大的影响
Windows 连接器获得最高评级,因为漏洞利用可能会影响端点响应能力。崩溃或停止的安全引擎可能会中断端点的正常使用并减少恢复期间的保护。
Linux 和 Mac 部署仍然面临风险,但思科将其影响评级较低,因为漏洞利用通常会中断扫描而不是整个操作系统。
思科还指出,当进程权限和平台保护较弱时,类似的历史 ClamAV 缺陷在某些情况下会产生更广泛的影响。对于本通报,已确认的影响集中在拒绝服务和扫描中断上。
没有可用的解决方法
这思科咨询表示这些漏洞没有解决方法。客户需要为其操作系统安装固定连接器版本。
管理员应将 Windows 连接器更新到 8.6.2,将 Linux 连接器更新到 1.29.0,将 Mac 连接器更新到 1.27.2。他们还应该验证每个端点在部署后是否确实转移到固定版本。
思科安全端点私有云被列为不易受攻击,但使用它的组织仍应确保托管端点接收更新的连接器。管理平台本身并不能消除修补易受攻击的端点软件的需要。
- 识别所有思科安全端点连接器部署。
- 优先考虑 Windows 系统,因为思科将其评为“高严重性”。
- 将 Linux 和 Mac 连接器更新到其固定版本。
- 确认所有端点均成功安装。
- 监视连接器崩溃、遥测缺失或服务重复重启。
- 检查文件接收点是否存在格式错误的存档或可执行文件。
独立 ClamAV 用户应该做什么
对于运行独立 ClamAV 或嵌入该引擎的产品的组织来说,这个问题也很重要。这ClamAV项目广泛用于邮件网关扫描、文件扫描、基于签名的恶意软件检测和存档检查。
独立用户应更新到可用的固定版本。这思科 Talos 发布页面将 ClamAV 1.5.3 和 1.4.5 标识为受影响代码路径的补丁版本。
Linux 发行版用户还应该检查供应商软件包建议。某些发行版向后移植安全修复程序,而无需更改为确切的上游版本号。
| 环境 | 建议采取的行动 |
|---|---|
| Windows 上的思科安全端点 | 升级到连接器 8.6.2 并确认端点运行状况 |
| Linux 上的思科安全端点 | 升级到连接器 1.29.0 并检查扫描仪遥测 |
| Mac 上的思科安全端点 | 升级到连接器 1.27.2 并验证部署状态 |
| 独立ClamAV | 安装固定的 ClamAV 版本或发行版提供的修补包 |
| 邮件网关和文件扫描仪 | 监控扫描失败、崩溃、队列和延迟处理 |
为什么漏洞很重要
这些漏洞不需要身份验证,并且当精心设计的文件到达扫描仪时可以远程触发它们。这使得暴露的文件获取路径变得非常重要,包括电子邮件系统、网络上传、共享驱动器和下载文件夹。
防病毒引擎中的拒绝服务缺陷仍然可能造成有意义的安全漏洞。如果扫描在错误的时刻失败,第二个恶意文件可能更有可能溜走。
安全团队应将扫描仪可用性视为端点保护的一部分。如果检查文件的工具不断崩溃,即使没有传统的恶意软件感染,组织也会失去可见性和保护。
防御者如何监控漏洞利用企图
检测应重点关注扫描仪运行状况和文件处理故障。团队应查找重复的 ClamAV 崩溃、服务重启、端点无响应或端点遥测中的突然间隙。
管理员还应该查看邮件网关、上传系统和文件共享的日志。格式错误的 PE、7z、InstallShield、ALZ、DMG、FSG 或 PESpin 内容模式可能表明存在探测或尝试利用。
修补后,团队应继续监视失败的扫描,因为旧的连接器版本可能仍处于脱机或非托管端点上。成功的推出需要部署和验证。
| 信号 | 为什么这很重要 |
|---|---|
| 扫描仪反复崩溃 | 可能表明精心制作的文件正在触发易受攻击的解析路径 |
| 端点变得无响应 | 与 Cisco 描述的影响更大的 Windows 场景相匹配 |
| 缺少安全遥测 | 可以显示崩溃后保护或报告失败 |
| 积压的邮件或文件扫描 | 在网关环境中可能会显示扫描中断 |
| 旧连接器版本 | 表明环境中仍然存在易受攻击的系统 |
底线
2026 年 7 月的 ClamAV 漏洞说明了为什么安全引擎需要与其他关键基础设施软件相同的修补紧迫性。防病毒工具按设计处理恶意文件,因此解析器错误很快就会成为操作风险。
对于思科安全端点客户来说,路径是明确的。更新受影响的连接器,确认已修复的版本,并观察推出后无法报告的系统。
对于独立的 ClamAV 用户,可以使用固定的上游版本。组织应该快速更新,尤其是在扫描来自不受信任来源的电子邮件、上传、存档和文件的系统上。
FAQ
2026 年 7 月的 ClamAV 漏洞有哪些?
2026 年 7 月的 ClamAV 漏洞是文件解析和资源处理代码中的七个缺陷。它们被跟踪为 CVE-2026-20213、CVE-2026-20214、CVE-2026-20215、CVE-2026-20216、CVE-2026-20217、CVE-2026-20243 和 CVE-2026-20244。
哪些 Cisco 产品受到 ClamAV 漏洞的影响?
受影响的思科产品包括适用于 Windows 的思科安全端点连接器、适用于 Linux 的思科安全端点连接器和适用于 Mac 的思科安全端点连接器。思科安全端点私有云被列为不易受攻击,但托管端点仍然需要更新的连接器。
远程攻击者可以在没有身份验证的情况下利用这些 ClamAV 缺陷吗?
是的。思科表示,未经身份验证的远程攻击者可以通过发送由 ClamAV 在受影响的系统上扫描的精心设计的文件来利用这些漏洞。成功利用该漏洞可能会使扫描过程崩溃并导致拒绝服务情况。
是否有针对 2026 年 7 月 ClamAV 漏洞的解决方法?
不可以。思科表示,这些漏洞没有解决方法。组织应安装固定的思科安全端点连接器版本或将独立的 ClamAV 部署更新为修补版本。
哪些版本修复了思科安全端点连接器问题?
思科将 Windows Connector 8.6.2、Linux Connector 1.29.0 和 Mac Connector 1.27.2 列为第一个修复版本。独立 ClamAV 用户应在适当的情况下更新到固定版本,例如 ClamAV 1.5.3 或 1.4.5。
