Cisco Talos ha pubblicato il 5 luglio 2026 le versioni 1.5.3 e 1.4.5 di ClamAV, il motore antivirus open-source più diffuso in gateway di posta e sistemi di upload aziendali. Il rilascio corregge sette vulnerabilità di sicurezza nel codice di parsing e unpacking, alcune introdotte nel codice tra il 2004 e il 2005. La gravità del contesto è immediata: ClamAV elabora continuamente file non fidati in ambienti automatici, senza intervento umano, rendendo ogni bug di parsing un potenziale vettore di attacco remoto.
- ClamAV 1.5.3 e 1.4.5 correggono sette CVE nel motore di scansione, con bug di overflow del heap, corruzione di memoria e crash.
- Due vulnerabilità risalgono al 2004 (FSG unpacker, CVE-2026-20214) e al 2005 (PESpin unpacker, CVE-2026-20217), sopravvivendo circa vent'anni nel codice.
- CVE-2026-20244 nel parser DMG interessa esclusivamente le build a 32-bit dalla versione 0.98.1, lasciando immuni i sistemi a 64-bit.
- Il rilascio include hardening contro race condition time-of-check/time-of-use nella gestione quarantena, riportato da Hiroki Imai di Ricerca Security, Inc.
Venti anni nel codice: la longevità come vulnerabilità
Il dato più destabilizzante non è tecnico ma cronologico. Il bug nel FSG unpacker, tracciato come CVE-2026-20214, è presente in build che risalgono al 2004. Quello nel percorso di cleanup del PESpin unpacker, CVE-2026-20217, vive nel codice dal 2005. Questo significa che per quasi vent'anni, attraverso innumerevoli release, audit e refactoring, la logica di parsing di due formati di eseguibili compressi PE è rimasta esposta a manipolazioni malformate.
La fonte cita testualmente che "la maggior parte dei bug corretti risiede nel codice che decomprime e analizza i formati eseguibili, la parte di uno scanner costruita per gestire input ostili". Questa è la crux del problema: il perimetro più critico, quello progettato per intercettare minacce, è diventato esso stesso una superficie di attacco. I parser nativi di ClamAV — per PE con packer Aspack, FSG, PESpin, per archivi 7z, ALZ, InstallShield, per immagini disco DMG — operano su input potenzialmente ostili senza sufficienti controlli di bounds, permettendo integer overflow che propagano a heap buffer overflow.
I sette CVE: meccanismi e formati interessati
Cisco Talos ha catalogato sette identificatori CVE con descrizioni tecniche convergenti su un pattern comune: la logica di unpacking opera su strutture dati esterne senza validare rigorosamente dimensioni e offset prima dell'allocazione di memoria.
CVE-2026-20213 riguarda un integer overflow nel calcolo della dimensione di ricostruzione di file PE compressi con Aspack: il risultato è un heap buffer overflow in scrittura. CVE-2026-20214, quello del 2004, sfrutta un loop underflow nel FSG unpacker che scrive oltre l'array delle sezioni in file PE craftati. CVE-2026-20217, del 2005, risiede nel percorso di cleanup del PESpin unpacker: la liberazione di puntatori nel buffer del file scansionato causa crash del motore.
I restanti quattro CVE espandono la superficie oltre gli eseguibili. CVE-2026-20215 colpisce il parser 7z con un overflow del contatore sottostream che genera under-allocazione e scrittura oltre i metadati. CVE-2026-20243 introduce errori di gestione dimensioni nel parser ALZ, con conseguenti panic, abort o bypass dei limiti di scansione. CVE-2026-20216 permette il bypass del limite di estrazione per archivi InstallShield, con potenziale riempimento dello storage temporaneo. CVE-2026-20244, circoscritto e specifico, causa crash nel parser DMG a 32-bit quando incontra tabelle stripe corte: interessa solo build 32-bit dalla versione 0.98.1, escludendo i sistemi a 64-bit.
Il caso della quarantena: TOCTOU e race condition
Parallelamente ai bug di parsing, il rilascio 1.5.3/1.4.5 include hardening per una race condition time-of-check/time-of-use nelle azioni di quarantena di clamscan, clamdscan e clamonacc. La vulnerabilità è stata riportata da Hiroki Imai, affiliato a Ricerca Security, Inc. Il meccanismo TOCTOU sfrutta una finestra di competizione tra il momento in cui il sistema verifica le condizioni di un file e quello in cui le utilizza, consentendo potenziali manipolazioni del filesystem in ambienti multiutente o multi-processo.
La presenza di questa classe di vulnerabilità — tipica di software con elevata esposizione concorrenziale — indica che la superficie di attacco di ClamAV non si limita al parsing statico ma si estende alle operazioni di gestione file, area tradizionalmente meno sottoposta a scrutiny rispetto ai motori di unpacking.
Perche è importante
Il dossier non specifica se le vulnerabilità siano state oggetto di exploit in-the-wild, né quantificate la superficie di attacco reale in termini di installazioni vulnerabili. Il brief non documenta misure correttive specifiche oltre l'aggiornamento di versione, né dettaglia il contenuto dei RUSTSEC advisories citati per la dipendenza Rust tar.
La fonte non riporta punteggi CVSS espliciti per le vulnerabilità, limitandosi a descrizioni qualitative della severità. Non emerge inoltre un advisory ufficiale separato di Cisco Talos oltre la comunicazione riportata da Help Net Security.
Ciò che il dossier conferma è sufficiente a definire il rischio: ClamAV opera in posizioni di transito obbligato — gateway SMTP, proxy di upload, endpoint aziendali — dove ogni file allegato o caricato attraversa automaticamente il motore di scansione. La natura non interattiva del processo amplifica l'esposizione: non esce un prompt, non arriva una richiesta di conferma, il parser elabora e basta.
"Most of the patched bugs sit in the code that unpacks and parses executable formats, the part of a scanner built to handle hostile input"
Lettura: la sostenibilità degli audit nel software open-source mantenuto da vendor commerciali
ClamAV è un caso studio di tensione strutturale: nato come progetto open-source indipendente, acquisito da Cisco nel 2007, gestito da Talos come infrastruttura critica per l'ecosistema di sicurezza. Questa ibridazione — codice libero, risorse corporate — non ha impedito a due bug di sopravvivere vent'anni, attraversando generazioni di manutentori, toolchain e paradigmi di sviluppo.
Il fenomeno solleva domande sul modello di auditing del software open-source di sicurezza. Se il motore più diffuso di scansione antivirus può ospitare vulnerabilità di parsing per due decadi, la logica di "molti occhi" necessita di correttivi: non basta la disponibilità del codice, serve continuità nel focus sugli input path più pericolosi — quelli che, come ricorda la fonte, sono "costruiti per gestire input ostili". La release 1.5.3 eleva inoltre il minimo CMake a 3.17, un dettaglio che suggerisce modernizzazione infrastrutturale ma anche debito tecnico accumulato.
La versione 1.5.3 include, oltre ai fix di sicurezza, upgrade della dipendenza Rust tar per RUSTSEC advisories, correzione di CVE-2026-41676 in openssl, preclassificazione metadati di scansione e fix di corruzione hash bucket in ClamOnAcc. Questa densità di interventi in un singolo rilascio indica che il ciclo di manutenzione ha raggiunto un punto di saturazione: correzioni sicurezza, aggiornamenti dipendenza e stabilità concorrono in una patch complessiva che gli amministratori devono valutare come unità indivisibile.
Domande frequenti
Quali versioni correggono le vulnerabilità?
ClamAV 1.5.3 e 1.4.5, rilasciate simultaneamente per diverse linee di versione.
Tutte le architetture sono interessate?
No. CVE-2026-20244 nel parser DMG colpisce esclusivamente le build a 32-bit dalla versione 0.98.1; le build a 64-bit non sono interessate da questo specifico bug.
Da quanto tempo esistevano questi bug?
Due vulnerabilità risalgono al 2004 (FSG unpacker) e al 2005 (PESpin cleanup), mentre le altre non hanno timeline storica specificata nella fonte.
Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/07/06/clamav-security-patch-versions/
- https://thehackernews.com/2026/07/unpatched-flaws-disclosed-in-filesystem.html
- https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/
- https://krebsonsecurity.com/2026/06/a-record-breaking-patch-tuesday-for-june-2026/
- https://www.helpnetsecurity.com/2026/04/27/25-open-source-security-tools/
- https://www.helpnetsecurity.com/2025/01/13/alexis-wales-github-ciso-security-strategy/