Кампанія Cisco прадставіла новы значны выпуск вольнага антывіруснага пакета ClamAV 0.105.0, а таксама апублікавала якія карэктуюць выпускі ClamAV 0.104.3 і 0.103.6 з выпраўленнем уразлівасцяў і памылак. Нагадаем, што праект перайшоў у рукі Cisco у 2013 годзе пасля пакупкі кампаніі Sourcefire, якая развівае ClamAV і Snort. Код праекту распаўсюджваецца пад ліцэнзіяй GPLv2.
Ключавыя паляпшэнні ў ClamAV 0.105:
- У лік абавязковых для зборкі залежнасцяў уключаны кампілятар для мовы Rust. Для зборкі патрабуецца прынамсі версія Rust 1.56. Неабходныя бібліятэкі-залежнасці на мове Rust уключаны ў асноўны склад пакета ClamAV.
- Перапісаны на мове Rust код для інкрыментальнага абнаўлення архіва БД (CDIFF). Новая рэалізацыя дазволіла значна паскорыць прымяненне абнаўленняў, якія выдаляюць вялікі лік сігнатур з базы. Гэта першы модуль, перапісаны на Rust.
- Павялічаны ўсталяваныя па змаўчанні значэнні лімітаў:
- MaxScanSize: 100M> 400M
- MaxFileSize: 25M> 100M
- StreamMaxLength: 25M> 100M
- PCREMaxFileSize: 25M> 100M
- MaxEmbeddedPE: 10M> 40M
- MaxHTMLNormalize: 10M> 40M
- MaxScriptNormalize: 5M> 20M
- MaxHTMLNoTags: 2M > 8M
- Максімальны памер радка ў файлах канфігурацыі freshclam.conf і clamd.conf падвышаны з 512 да 1024 знакаў (пры ўказанні токенаў доступу параметр DatabaseMirror мог перавышаць 512 байт).
- Для вызначэння малюнкаў, якія выкарыстоўваюцца для фішынгу або пры распаўсюджванні шкоднаснага ПА, рэалізавана падтрымка новага віду лагічных сігнатур, у якіх выкарыстоўваецца метад невыразнага хэшавання (fuzzy hashing), які дазваляе выяўляць падобныя аб'екты з вызначанай ступенню верагоднасці. Для генерацыі невыразнага хэша для выявы можна выкарыстоўваць каманду "sigtool -fuzzy-img".
- У ClamScan і ClamDScan убудавана магчымасць сканавання памяці працэсаў. Дадзеная магчымасць перанесена з пакета ClamWin і спецыфічная для платформы Windows. У ClamScan і ClamDScan на платформе Windows дададзены опцыі "-memory", "-kill" і "-unload".
- Абноўлены runtime-кампаненты для выканання байткода, заснаваныя на LLVM. Для павелічэння прадукцыйнасці сканавання ў параўнанні з прапанаваным па змаўчанні інтэрпрэтатарам байткода прапанаваны рэжым JIT-кампіляцыі. Спынена падтрымка старых версій LLVM, для працы зараз можна выкарыстоўваць версіі LLVM c 8 па 12.
- У Clamd дададзена налада GenerateMetadataJson, эквівалентная опцыі "-gen-json" у clamscan і якая прыводзіць да запісу ў файл metadata.json метададзеных аб ходзе сканавання ў фармаце JSON.
- Дадзеная магчымасць зборкі з выкарыстаннем вонкавай бібліятэкі TomsFastMath (libtfm), уключанай пры дапамозе опцый "-D ENABLE_EXTERNAL_TOMSFASTMATH=ON", "-D TomsFastMath_INCLUDE_DIR=" і "-D TomsFastMath_LIBRARY=. Копія бібліятэкі TomsFastMath, якая ўваходзіць у пастаўку, абноўлена да версіі 0.13.1.
- Ва ўтыліце Freshclam палепшаны паводзіны пры апрацоўцы таймаўту ReceiveTimeout, які зараз абрывае толькі якія завіслі загрузкі і не перарывае актыўныя павольныя загрузкі з перадачай дадзеных па дрэнных каналах сувязі.
- Дададзена падтрымка зборкі ClamdTop з выкарыстаннем бібліятэкі ncursesw у выпадку адсутнасці ncurses.
- Ухілены ўразлівасці:
- CVE-2022-20803 - падвойнае вызваленне памяці ў персеры файлаў OLE2.
- CVE-2022-20770 - бясконцае зацыкльванне ў персеры файлаў CHM.
- CVE-2022-20796 - аварыйнае завяршэнне з-за разнаймення нулявога паказальніка ў кодзе праверкі кэша.
- CVE-2022-20771 - бясконцае зацыкльванне ў персеры файлаў TIFF.
- CVE-2022-20785 - уцечка памяці ў персеры HTML і нармалізатары Javascript.
- CVE-2022-20792 - перапаўненне буфера ў модулі загрузкі базы сігнатур.
Крыніца: opennet.ru