Ná ses maande se ontwikkeling het Cisco die vrystelling van die gratis antivirussuite ClamAV 1.3.0 gepubliseer. Die projek het in 2013 in die hande van Cisco oorgegaan na die aankoop van Sourcefire, die maatskappy wat ClamAV en Snort ontwikkel. Die projekkode word onder die GPLv2-lisensie versprei. Die 1.3.0-tak word as gereelde (nie LTS) geklassifiseer, waarvan opdaterings minstens 4 maande na die eerste vrystelling van die volgende tak gepubliseer word. Die vermoë om die handtekeningdatabasis vir nie-LTS-takke af te laai, word ook vir ten minste nog 4 maande na die vrystelling van die volgende tak verskaf.
Sleutelverbeterings in ClamAV 1.3:
- Bygevoeg ondersteuning vir die onttrek en kontrolering van aanhegsels wat in Microsoft OneNote-lêers gebruik word. OneNote-parsering is by verstek geaktiveer, maar kan gedeaktiveer word indien verlang deur "ScanOneNote no" in clamd.conf te stel, die opdragreëlopsie "--scan-onenote=no" te spesifiseer wanneer die clamscan-nutsprogram uitgevoer word, of die CL_SCAN_PARSE_ONENOTE-vlag by te voeg die options.parse-parameter wanneer libclamav gebruik word.
- Die samestelling van ClamAV in die BeOS-agtige bedryfstelsel Haiku is gevestig.
- Het tjek by clamd gevoeg vir die bestaan van die gids vir tydelike lêers gespesifiseer in die clamd.conf-lêer via die TemporaryDirectory-aanwysing. As hierdie gids ontbreek, sluit die proses nou af met 'n fout.
- Wanneer die bou van statiese biblioteke in CMake opgestel word, word die installering van die statiese biblioteke libclamav_rust, libclammspack, libclamunrar_iface en libclamunrar, wat in libclamav gebruik word, verseker.
- Geïmplementeerde lêertipe-opsporing vir saamgestelde Python-skrifte (.pyc). Die lêertipe word deurgegee in die vorm van die string parameter CL_TYPE_PYTHON_COMPILED, ondersteun in die clcb_pre_cache, clcb_pre_scan en clcb_file_inspection funksies.
- Verbeterde ondersteuning vir die dekripteer van PDF-dokumente met 'n leë wagwoord.
Terselfdertyd is ClamAV 1.2.2- en 1.0.5-opdaterings gegenereer, wat twee kwesbaarhede reggestel het wat takke 0.104, 0.105, 1.0, 1.1 en 1.2 raak:
- CVE-2024-20328 - Moontlikheid van opdragvervanging tydens lêerskandering in clamd as gevolg van 'n fout in die implementering van die "VirusEvent"-riglyne, wat gebruik word om 'n arbitrêre opdrag uit te voer as 'n virus opgespoor word. Besonderhede van die uitbuiting van die kwesbaarheid is nog nie bekend gemaak nie; al wat bekend is, is dat die probleem opgelos is deur ondersteuning vir die VirusEvent-string-formateringparameter '%f' te deaktiveer, wat vervang is met die naam van die besmette lêer.
Blykbaar kom die aanval daarop neer om 'n spesiaal ontwerpte naam van 'n besmette lêer te stuur wat spesiale karakters bevat wat nie ontsnap kan word wanneer die opdrag uitgevoer word wat in VirusEvent gespesifiseer is nie. Dit is opmerklik dat 'n soortgelyke kwesbaarheid reeds in 2004 reggestel is en ook deur die verwydering van ondersteuning vir die '%f'-vervanging, wat toe teruggestuur is in die vrystelling van ClamAV 0.104 en gelei het tot die herlewing van die ou kwesbaarheid. In die ou kwesbaarheid, om jou opdrag tydens 'n virusskandering uit te voer, moes jy net 'n lêer met die naam "; mkdir besit" en skryf die virustoetshandtekening daarin.
- CVE-2024-20290 is 'n bufferoorloop in die OLE2-lêer-ontledingskode, wat deur 'n afgeleë ongeverifieerde aanvaller gebruik kan word om 'n ontkenning van diens te veroorsaak (ongeluk van die skanderingsproses). Die probleem word veroorsaak deur verkeerde einde-van-lyn-kontrolering tydens inhoudskandering, wat lei tot lees vanaf 'n area buite die buffergrens.
Bron: opennet.ru