Altı aylıq inkişafdan sonra Cisco pulsuz ClamAV 1.3.0 antivirus paketinin buraxılışını nəşr etdi. Layihə 2013-cü ildə ClamAV və Snort inkişaf etdirən Sourcefire şirkətini satın aldıqdan sonra Cisco-nun əlinə keçdi. Layihə kodu GPLv2 lisenziyası altında paylanır. 1.3.0 filialı adi (LTS deyil) kimi təsnif edilir, yeniləmələri növbəti filialın ilk buraxılışından ən azı 4 ay sonra dərc edilir. Qeyri-LTS filialları üçün imza verilənlər bazasını yükləmək imkanı da növbəti filialın buraxılmasından sonra ən azı daha 4 ay ərzində təmin edilir.
ClamAV 1.3-da əsas təkmilləşdirmələr:
- Microsoft OneNote fayllarında istifadə olunan qoşmaların çıxarılması və yoxlanması üçün əlavə dəstək. OneNote təhlili defolt olaraq aktivdir, lakin istəsəniz clamscan yardım proqramını işə salarkən "--scan-onenote=no" əmr satırı seçimini göstərərək və ya CL_SCAN_PARSE_ONENOTE bayrağını əlavə edərək clamd.conf-da "ScanOneNote no" təyin etməklə deaktiv edilə bilər. libclamav istifadə edərkən variantlar.parse parametri.
- ClamAV-ın BeOS-a bənzər Haiku əməliyyat sistemində yığılması yaradılmışdır.
- TemporaryDirectory direktivi vasitəsilə clamd.conf faylında göstərilən müvəqqəti fayllar üçün kataloqun mövcudluğu üçün clamd-a yoxlama əlavə edildi. Bu kataloq yoxdursa, proses indi xəta ilə çıxır.
- CMake-də statik kitabxanaların qurulmasını qurarkən, libclamav-da istifadə olunan libclamav_rust, libclammspack, libclamunrar_iface və libclamunrar statik kitabxanalarının quraşdırılması təmin edilir.
- Tərtib edilmiş Python skriptləri (.pyc) üçün fayl növünün aşkarlanması həyata keçirilmişdir. Fayl növü clcb_pre_cache, clcb_pre_scan və clcb_file_inspection funksiyalarında dəstəklənən CL_TYPE_PYTHON_COMPILED sətir parametri şəklində ötürülür.
- Boş parol ilə PDF sənədlərinin şifrəsini açmaq üçün təkmilləşdirilmiş dəstək.
Eyni zamanda, 1.2.2, 1.0.5, 0.104, 0.105 və 1.0 filiallarına təsir edən iki zəifliyi aradan qaldıran ClamAV 1.1 və 1.2 yeniləmələri yaradıldı:
- CVE-2024-20328 - Virus aşkar edildikdə ixtiyari əmri işə salmaq üçün istifadə edilən "VirusEvent" direktivinin icrasındakı xəta səbəbindən clamd-da fayl skanı zamanı əmrin dəyişdirilməsi imkanı. Boşluqdan istifadənin təfərrüatları hələ açıqlanmayıb; yalnız məlum olan odur ki, problem yoluxmuş faylın adı ilə əvəz edilmiş VirusEvent sətir formatlaşdırma parametri '%f' üçün dəstəyin dayandırılması ilə aradan qaldırılıb.
Göründüyü kimi, hücum VirusEvent-də göstərilən əmri yerinə yetirərkən qaçmaq mümkün olmayan xüsusi simvolları ehtiva edən yoluxmuş faylın xüsusi hazırlanmış adının ötürülməsindən ibarətdir. Maraqlıdır ki, oxşar boşluq 2004-cü ildə və həmçinin ClamAV 0.104-ün buraxılışında geri qaytarılan və köhnə zəifliyin yenidən canlanmasına səbəb olan '%f' əvəzlənməsi üçün dəstəyin aradan qaldırılması ilə artıq düzəldildi. Köhnə boşluqda, virus skanı zamanı əmrinizi yerinə yetirmək üçün yalnız “adlı bir fayl yaratmalısınız; mkdir məxsus" yazın və ona virus test imzasını yazın.
- CVE-2024-20290 OLE2 fayl analiz kodundakı bufer daşmasıdır və uzaqdan təsdiqlənməmiş təcavüzkar tərəfindən xidmətdən imtinaya səbəb olmaq üçün istifadə edilə bilər (skan prosesinin qəzası). Problem, məzmunun skan edilməsi zamanı səhv son xəttin yoxlanılması nəticəsində yaranır ki, bu da bufer sərhədindən kənar bir sahədən oxunması ilə nəticələnir.
Mənbə: opennet.ru