Пасля шасці месяцаў распрацоўкі кампанія Cisco апублікавала выпуск вольнага антывіруснага пакета ClamAV 1.3.0. Праект перайшоў у рукі Cisco у 2013 годзе пасля пакупкі кампаніі Sourcefire, якая развівае ClamAV і Snort. Код праекту распаўсюджваецца пад ліцэнзіяй GPLv2. Галінка 1.3.0 аднесена да катэгорыі звычайных (не LTS), абнаўленні да якіх публікуюцца як мінімум на працягу 4 месяцаў пасля вынахаду першага рэлізу наступнай галінкі. Магчымасць загрузкі базы сігнатур для не-LTS галінак таксама забяспечваецца як мінімум яшчэ 4 месяцы пасля выпуску наступнай галінкі.
Ключавыя паляпшэнні ў ClamAV 1.3:
- Дададзена падтрымка вымання і праверкі ўкладанняў, якія выкарыстоўваюцца ў файлах Microsoft OneNote. Разбор фармату OneNote уключаны па змаўчанні, але пры жаданні можа быць адключаны пры дапамозе налады "ScanOneNote no" у clamd.conf, указанні опцыі каманднага радка "—scan-onenote=no" пры запуску ўтыліты clamscan або даданні сцяга CL_SCAN_PARSE_ONENOTE у параметр пры выкарыстанні libclamav.
- Наладжана зборка ClamAV у BeOS-падобнай аперацыйнай сістэме Haiku.
- У clamd дададзена праверка існавання каталога для часовых файлаў, указанага ў файле clamd.conf праз дырэктыву TemporaryDirectory. Пры адсутнасці дадзенага каталога працэс зараз завяршаецца з высновай памылкі.
- Пры наладзе зборкі статычных бібліятэк у CMake, забяспечана ўстаноўка статычных бібліятэк libclamav_rust, libclammspack, libclamunrar_iface і libclamunrar, якія выкарыстоўваюцца ў libclamav.
- Рэалізавана вызначэнне тыпу файла для скампіляваных Python-сцэнарыяў (.pyc). Тып файла перадаецца ў форме радковага параметра CL_TYPE_PYTHON_COMPILED, які падтрымліваецца ў функцыях clcb_pre_cache, clcb_pre_scan і clcb_file_inspection.
- Палепшана падтрымка расшыфроўкі PDF-дакументаў з пустым паролем.
Адначасова сфарміраваны абнаўленні ClamAV 1.2.2 і 1.0.5, у якіх ухілены дзве ўразлівасці, якія закранаюць галінкі 0.104, 0.105, 1.0, 1.1 і 1.2:
- CVE-2024-20328 - магчымасць падстаноўкі каманд падчас праверкі файлаў у clamd з-за памылкі ў рэалізацыі дырэктывы "VirusEvent", якая ўжываецца для запуску адвольнай каманды ў выпадку выяўлення віруса. Дэталі эксплуатацыі ўразлівасці пакуль не расчыняюцца, вядома толькі тое, што праблема ўхіленая праз адключэнне падтрымкі ў VirusEvent параметру фарматавання радка '%f', які замяняўся на імя інфікаванага файла.
Мяркуючы па ўсім, атака зводзіцца да перадачы спецыяльна аформленага імя заражанага файла, які змяшчае спецзнакі не экранаваныя пры запуску каманды, указанай у VirusEvent. Характэрна, што падобную ўразлівасць ужо ўхілялі ў 2004 году і таксама выдаленнем падтрымкі падстаноўкі '%f', якая затым была вернутая ў выпуску ClamAV 0.104 і прывяла да адраджэння старой уразлівасці. У старой уразлівасці для выканання сваёй каманды падчас праверкі на вірусы дастаткова было стварыць файл з імем”; mkdir owned» і запісаць у яго тэставую сігнатуру віруса.
- CVE-2024-20290 - перапаўненне буфера ў кодзе разбору файлаў са змесцівам у фармаце OLE2, якое выдалены неаўтэнтыфікаваны атакуючы можа выкарыстоўваць для адмовы ў абслугоўванні (аварыйнае завяршэння працэсу сканавання). Праблема выклікана некарэктнай праверкай канца радка падчас сканавання змесціва, якая прыводзіць да чытання з вобласці па-за межай буфера.
Крыніца: opennet.ru